ランサムウェアに感染してしまった事例
システム開発会社の社員Sが出勤した際に、自社の仮想環境にログインしようとしたが、ランサムウェアに感染していることを発見した。
画面にはビットコインで身代金を支払えばデータを見られるようにするという内容の脅迫文が表示され、仮想環境にログインできない状態になっていた。マルウェア対策は万全を期している認識であり、対策ソフトの導入や、最新OSのインストール、社内ルーターのパスワードを変更、ファイアーウォール、サーバーとのVPN接続など基本的なところから、従業員教育にも力をいれておりました。
しかしそれでも侵入を許してしまった原因、侵入経路が特定できず、感染原因の解明と、開発環境内のデータ盗難が行われているかを調べるために、弊社でデジタルフォレンジック調査を実施しました。
画面にはビットコインで身代金を支払えばデータを見られるようにするという内容の脅迫文が表示され、仮想環境にログインできない状態になっていた。マルウェア対策は万全を期している認識であり、対策ソフトの導入や、最新OSのインストール、社内ルーターのパスワードを変更、ファイアーウォール、サーバーとのVPN接続など基本的なところから、従業員教育にも力をいれておりました。
しかしそれでも侵入を許してしまった原因、侵入経路が特定できず、感染原因の解明と、開発環境内のデータ盗難が行われているかを調べるために、弊社でデジタルフォレンジック調査を実施しました。
その結果、会社で導入している『固定IPアドレス付与サービス』において、当該IPアドレスが脆弱性のある状態のWebサーバーとして公開されていたことが判明しました。ファイアウォールも設定していたが、サーバーとはVPN接続しており、無効となっており、感染経路として特定しました。
つまりサーバー自体に脆弱性があったために、会社内やパソコン上でマルウェア対策が無意味となっていました。
また、データの盗難に関しては、PCのログを確認したところ盗難されていないことが確認されました。
幸い開発環境内のデータのバックアップは他のサーバーにあったために、データの復元が出来、開発も再開することが出来ました。
この様にIT分野の専門家であるシステム開発会社でさえ、被害にあうことがあります。
更には最近では市区町村や、国の機関にもサイバー攻撃が仕掛けられる例も増えてきています。
それだけサイバー攻撃は身近なものとなっていることを認識していかなければなりません。
インターネット上という同じ環境にいるのであれば、いつ自分が被害にあうか分からないからです。
もしあなたが少しでも不安に思うのであれば、脆弱性診断をしてみることをお勧め致します。
関連リンク