脅迫文にリークサイトに関する記述無し ～ レイメイ藤井へのランサムウェア攻撃

　株式会社レイメイ藤井は9月10日、8月18日に公表した同社サーバへの第三者からの不正アクセスについて、第二報を発表した。

　同社では8月9日に、同社の一部サーバでファイルが暗号化されるランサムウェア被害が発生しており、外部専門家と連携して影響範囲等の調査と復旧への対応を進めていた。

　同社が9月2日に受領したフォレンジック解析調査結果の最終報告によると、攻撃者は社外からネットワーク経由でコンピュータに接続し、リモートで操作して不正アクセスを行い、複数の社内サーバに接続し、最終的にランサムウェアを実行してファイルを暗号化するとともにサーバ内に脅迫文を残したとのこと。

　解析の結果、不正プログラムはCrySiS/Dharmaランサムウェアの亜種で、脅迫文にはリークサイトに関する記述はなく、現在のところ、本ランサムウェアに関連するリークサイトは発見されていない。本プログラムの特徴は下記の通り。

・本不正プログラム自身には永続性の機能はない。
・本不正プログラム自身には自身を感染コンピュータ以外のコンピュータに拡散させる機能はない。
・本プログラム自身には外部に通信する機能はない。
・本プログラム自身には情報漏えい機能および外部に送信する機能はない。
・本不正プログラムには暗号化以外のファイル改ざん機能はない。

　同社によると9月9日時点で、同社サーバから漏えいした可能性がある情報の公開は確認されておらず、解析対象となったサーバやコンピュータからは外部への明確な情報漏えいの痕跡はない。

　同社では再発防止策として、下記を実施するとのこと。

1.ネットワークセキュリティ対策の強化
・ネットワーク接続時にすべてのユーザーアカウントに対して多要素認証を適用する。
・ネットワーク接続におけるログを適切に取得・保持出来るよう設定を見直す。
・サーバおよびパソコン端末に保存されている認証情報を変更する。
・パソコン・サーバを問わず、エンドポイントセキュリティの対策を強化する。（EPP、EDR製品の導入、SOCの検討）
・サプライチェーンに属する関連企業や委託先のセキュリティ管理体制を強化する。

2.脆弱性管理の徹底
・管理者アカウントのパスワードポリシーの強化
・パソコン、サーバOS、ネットワーク機器の最新アップデートへの更新と管理徹底

3.ネットワークセキュリティに関する社員教育の再徹底

元の記事を読む