ランサムウェア被害の韓国企業、身売りと引き換えにサービスを復旧(転載)~結局身代金を払っても完全復旧に至らず~


韓国のホスティングサービス企業のNAYANAが、ランサムウェア攻撃によってサービス停止に追い込まれている。同社は身売りによって資金を調達し、これを身代金として攻撃者へ支払い続けながら、復旧作業を進めている。

同社によると、被害は6月10日に発生した。153台のLinuxサーバがランサムウェア「Erebus」に感染し、データベースや動画像などのさまざまなデータが暗号化され、使用不能になったという。攻撃者は当初、サーバ1台あたり10ビットコイン(約3271万ウォン=約321万円)を支払えば、回復に必要な復号鍵を提供すると持ち掛けてきた。

同社はセキュリティ対策や二重のバックアップを講じていたが、バックアップデータまで暗号化されたため、自前での復旧を断念。被害発生について利用者に謝罪し、韓国インターネット振興院(NIDA)や警察機関にも通報した。

復旧には、総額で約50億ウォン(=約4億9000万円)が必要なものの、交渉によって14日までにサーバ1台にあたり5.4ビットコイン(約1755万ウォン=約172万円)、総額では約18億ウォン(=約1億7657万円)に減額された。しかし同日時点で、同社が準備できる資金は、4億ウォンが限界だったという。

攻撃者側の要求額との差は依然大きく、同社はブログで交渉内容も一般に公開し、最終的に13億ウォンを支払うことで妥結した。足りない費用については、同社の株式を担保に、復旧後に同社を買収する予定の企業から資金を順次調達。入金状況に応じて攻撃者から復号鍵を受け取り、17日までに全てサーバの復旧に必要な復号鍵を入手できる見込みだという。

16日の時点で一部のサーバは復旧に成功したものの、復号に失敗するサーバもあるもようだ。スケジュールは流動的だとしつつ、今後は来週までに90%以上のサーバについてサービスの回復を目指すと説明している。

退職者(内部犯行)によるインシデント事例 / Fired techie created virtual chaos at pharma company(転載)~退職者のアカウント管理は重要~


 Fired techie created virtual chaos at pharma company

ジョージア州スマーナのマクドナルド・レストランからログインして、米国の製薬会社の元従業員が、今年初めに同社のコンピュータ・インフラのほとんどを消去してしまった。

日本の製薬会社「塩野義製薬」の米国子会社でITスタッフを務めていたジェイソン・コーニッシュ氏(37歳)は、2011年2月3日に行われた攻撃に関連して、コンピュータへの侵入容疑で火曜日に有罪を認めた。同氏は、ニュージャージー州フローラム・パークにある同社の電子メール、注文追跡、財務などのサービスを実行していた15台のVMwareホストシステムを破壊しました。

「2月3日の攻撃により、塩野義製薬の業務は数日間にわたって事実上停止し、従業員は製品の出荷や小切手の発行、電子メールでの連絡すらできない状態に陥りました」と米国司法省は裁判資料で発表しています。シオノギ社の被害総額は80万米ドルです。

コーニッシュは、2010年7月に経営陣と対立して退職したが、その後2カ月間はコンサルタントとして勤務していた。

そして2010年9月、製薬会社はコーニッシュをはじめとする従業員を解雇したが、ネットワークのパスワードを無効にしたのはまずかった。コーニッシュの友人であり、元上司でもあったある社員は、ネットワークのパスワードを会社関係者に渡すことを拒み、最終的にはそれが原因で解雇されたと言われている。

コーニッシュは塩野義製薬のアカウントを使って、2月にマクドナルドの公衆インターネット回線から会社のネットワークにログインし、数週間前に会社のネットワークに密かにインストールしたvSphere VMware管理コンソールを起動することができました。

vSphereを使って、88台の会社のサーバをVMwareのホストシステムから1台ずつ削除しました。

コーニッシュは7月に起訴されました。11月10日の判決では、最高で10年の懲役刑が科せられることになります。火曜日にはコメントを得ることができませんでした。塩野義製薬は、コメントを求めるメッセージを受け取っていません。