【転載】米ユタ大学がランサムウェアに感染し、457,000USDを払う

ユタ大学はランサムウェアに見舞われ、$457Kの身代金を支払う:

ユタ大学は、ランサムウェア攻撃中に盗まれたファイルを脅威アクターがリリースするのを防ぐために、457,000ドルのランサムウェアを支払いました。

本日投稿された「データセキュリティインシデント」通知の中で、ユタ大学は2020年7月19日(日曜日)にランサムウェアによって攻撃されたことを明らかにしました。

「2020年7月19日(日)、大学の社会行動科学部(CSBS)は、CSBSコンピューティングサーバーに対するランサムウェア攻撃について、大学の情報セキュリティオフィス(ISO)から通知を受けました。「侵害されたCSBSサーバー上のコンテンツは、未知のエンティティによって暗号化され、もはや大学によってアクセスできませんでした」と、ユタ大学が明らかにしました。

この攻撃は、大学の社会行動科学大学(CSBS)部門のサーバーを暗号化しました。攻撃の一環として、脅威アクターはコンピュータを暗号化する前に暗号化されていないデータを盗みました。

2019年末以来、ランサムウェア事業者はランサムウェアを展開する前に暗号化されていないファイルを盗み始めました。

盗まれたデータには学生と従業員の情報が含まれていたため、大学はそれを防ぐために身代金を支払うことにしました。

「慎重に検討した結果、大学は、そのサイバー保険会社と協力して、ランサムウェアの攻撃者に手数料を支払うことにしました。これは、情報がインターネット上で公開されないようにするための予防的かつ予防的なステップとして行われました」と、データセキュリティインシデント通知に記載されています。

大学は、彼らのサイバー保険契約が$457,059.24 USDの身代金を支払い、「授業料、助成金、寄付、州または納税者の資金が身代金を支払うために使用されなかった」と述べています。

ランサムウェア攻撃だけでなく、データ漏洩も

ランサムウェア事業者は通常、掘り出し物の側を維持し、身代金が支払われていた場合、これらの攻撃中に盗まれた情報を開示しません。

しかし、これはデータ侵害であり、影響を受ける人々はデータ、信用履歴、その他のアカウントを保護するためにそれに応じて行動する必要があります。

脅威アクターが盗まれたデータを自分の目的のために使用しないと言うことは何もありません。

このため、社会行動科学大学(CSBS)のすべての学生と従業員が、不正な行為に対する信用履歴を注意深く監視し、オンラインで使用するパスワードを変更することを強くお勧めします。

ユタ大学は最近、身代金の支払いだけではありません.

2020年6月、UCサンフランシスコは復号者を受け取り、ファイルを回復するために114万ドルの身代金支払いを支払いました。



ーー以下原文ーー

The University of Utah has paid a $457,000 ransomware to prevent threat actors from releasing files stolen during a ransomware attack.

In a 'data security incident' notification posted today, the University of Utah disclosed that they were attacked by ransomware on Sunday, July 19, 2020.

"On Sunday, July 19, 2020, the university’s College of Social and Behavioral Science (CSBS) was notified by the university’s Information Security Office (ISO) of a ransomware attack on CSBS computing servers. Content on the compromised CSBS servers was encrypted by an unknown entity and no longer accessible by the college," the University of Utah disclosed.

The attack encrypted the servers in the university's College of Social and Behavioral Science (CSBS) department. As part of the attack, the threat actors stole unencrypted data before encrypting computers.

Since the end of 2019, ransomware operators have started stealing unencrypted files before deploying their ransomware. The ransomware gang then threatens the victims by saying they will publicly leak the stolen files if a ransom is not paid.

As the stolen data contained student and employee information, the university decided to pay the ransom to prevent it from being leaked.

"After careful consideration, the university decided to work with its cyber insurance provider to pay a fee to the ransomware attacker. This was done as a proactive and preventive step to ensure information was not released on the internet," stated in their data security incident notification.

The university states that their cyber insurance policy paid a ransom of $457,059.24 USD and that no "tuition, grant, donation, state or taxpayer funds were used to pay the ransom."

Not only a ransomware attack but also a data breach

Ransomware operators typically keep their side of the bargain and do not disclose the information stolen during these attacks if a ransom had been paid.

With that said, this is a data breach, and those affected must act accordingly to protect their data, credit history, and other accounts.

There is nothing to say that the threat actors will not use the stolen data for their own purposes, such as identity theft and phishing attacks against students and employees.

Due to this, it is strongly suggested that all students and employees in the College of Social and Behavioral Science (CSBS) carefully monitor their credit history for fraudulent activity and change any passwords that they utilize online.

The University of Utah is not alone in recently paying ransom payments.

In June 2020, UC San Francisco paid a $1.14 million ransom payment to receive a decryptor and recover their files.

【転載】テレワークの実践方法やツールをまとめたガイドブック公開（google）

テレワークの実践方法やツールをまとめたガイドブック公開（google）:

• 
  
  
  
  テレワークを継続するにあたり、必要だと思うこと
  
  
  
• 
  
  
  
  “つながり”の質と帰属の認識
  
  
  

グーグル合同会社（google）は7月16日、テレワークの実践方法やツールをまとめた「働き方のこれからをつくろう。」ガイドブックを公開した。



新型コロナウィルスの影響で、テレワークをはじめとする柔軟な働き方が求められる中、最新調査ではテレワークの導入率が全国で4月の27％から6月の35％へ増加しており、テレワーク経験者の約半数が継続意向を示している。同社では、以前から一つのエリアや拠点にとらわれない「分散型ワークスタイル」を実践しており、その中で得た知見やノウハウともとに新たな日常へのシフトを可能にする「働き方のこれからをつくろう。」ガイドブックを公開する。



本ガイドブックでは企業がテレワークを継続するにあたり必要だと思うことについて、実施者を対象に調査したデータを紹介。「会社のツールやシステムの整備・拡充」「ペーパーレス化」に続き「情報セキュリティ対策」も企業の規模にかかわらず求められている。



また、同社が実施した調査から、実際にテレワークを実施した従業員のうち半分近くの49.3％が継続を望んでいるが、一方で23.1％が継続以降が強くないことを取り上げ、その理由として「オフィスでないと閲覧できない資料やデータがある」「社内コミュニケーションが取りづらい」「仕事のON/OFFの切り替えがしづらい」「社内ツールが利用しづらい」「PC・周辺機器の設備が整っていない」を不満点として挙げている。



同社では新型コロナウイルス禍以前から「分散型ワークスタイル」を取り入れてきたが、同社社員の中でもミーティングの際にチームメンバーと直接会う場合とビデオ会議上でバーチャルに会う場合で、臨場感に大きな違いを感じない従業員は55％いる一方、ビデオ会議に参加した際に他のメンバーとの一体感を感じている従業員は37％という結果もあり、「つながりの質」の低下が分散型ワークスタイルの課題としている。

《ScanNetSecurity》

バックアップ

【転載】Emotet関連情報収集メモ

Emoいメモ。 #Emotet:

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ



ここ数日、ネットメディアニュースなどで『Emotetが活動再開！』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp



www.itmedia.co.jp

news.mynavi.jp



Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない（マクロを有効化しない）



しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。


さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

• Emotetについての注意喚起
• 
  EmotetのIoC情報を知りたい
  • ANY.RUN
  • URLhaus
  • Cryptolaemus Pastedump
  • Pastebin
• Emotetの情報をTwitterで知りたい
• Emotetの情報をブログ等で知りたい

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。



▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について



▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人 情報処理推進機構



▼Emotetに対しての対応FAQ（JPCERT/CC）

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています

EmotetのIoC情報を知りたい

EmotetについてのIoC情報（通信先情報、検体情報など）をまとめました。
監視などを行う際に活用してみてください。

ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

①https://any.run/malware-trends/emotet



Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。



②https://app.any.run/submissions



ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。（ので、気をつけてくださいね）



Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

①https://urlhaus.abuse.ch/browse/tag/emotet/



URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。


②https://urlhaus.abuse.ch/api/



URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

・Database dump (CSV)
１：URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)





２：URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

Pastebin

Pastebin（ペーストビン）でも情報を発信してくれるページがあります。

• https://pastebin.com/u/jroosen
• https://pastebin.com/u/paladin316
• https://pastebin.com/u/emf1123

Pastebinだとこの辺り。

Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o

Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6

Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9

— ねこさん⚡��Ͷow or Ͷever��(ΦωΦ) (@catnap707) 2020年7月22日

 ねこさん情報ありがとうございます！！！

Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

\_(ʘ_ʘ)_/@pollo290987

Brad@malware_traffic

abuse.ch@abuse_ch

ANY.RUN@anyrun_app

bom@bomccss

S-Owl@Sec_S_Owl

さとっぺ@satontonton

watoly@wato_dn

tike@tiketiketikeke

hiro_@papa_anniekey

sugimu@sugimu_sec

abel@abel1ma

moto_sato@58_158_177_102

Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ（組織、個人）や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet（エモテット）徹底解説！感染すると何が起こる？ | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ



▼個人ブログ

bomccss.hatenablog.jp

bomccss.hatenablog.jp



sugitamuchi.hatenablog.com

sugitamuchi.hatenablog.com



hash1da1.hatenablog.com



以上です。



これ以外もあるぞ！という方はぜひTwitter等で教えてくださると幸いです。

ではでは！

＜更新履歴＞

2020/07/22 PM 公開

2020/07/23 PM 修正（Pastebinの情報を追記）

【転載】サイバー攻撃発生から発見・公表まで平均69日。81 事案を調査（サイバーセキュリティクラウド）

サイバー攻撃発生から発見・公表まで何日かかったか、81 事案を調査（サイバーセキュリティクラウド）:

• 攻撃発生から発覚、発覚から公表に要した期間

株式会社サイバーセキュリティクラウドは8月14日、不正アクセス事件についてサイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。



本調査では、2019年1月1日から2020年7月31日の期間に公表された、法人・団体における不正アクセスに関する被害規模1,000件以上の主な個人情報流出事案81件を対象に、サイバー攻撃の発生から発覚・公表までの期間に関する調査結果をまとめた。

同調査によると、攻撃発生から発覚するまでに平均383日を要しており、法人や団体は1年以上もの間、個人情報流出につながるサイバー攻撃に気づいていないことが判明、さらにサイバー攻撃発覚から公表までには平均69日を要しており、合計するとサイバー攻撃の発生から公表まで平均452日もの日数を要していることが明らかになった。

攻撃発生から発覚まで要した日数を比較したところ、30日以内の発覚が最も多く24件と全体の41％を占めたが、次いで1年超が14件で17％、180日超1年以内が9件で11％という結果となった。

攻撃発覚から発表までの期間を比較したところ、全体の50％程度は被害発覚から30日以内に公表していたが、30％以上の事案で90日間超を、中には公表までに1年以上の日数を要している事案もあった。

本調査をに対し同社取締役CTOの渡辺洋司氏は「新型コロナウイルスの影響による緊急事態宣言が発出された期間には、発出前と比較してサイバー攻撃が20％近く増加したことがわかりました。これはWebサービスの利用者が増加したこと、企業のテレワーク導入や長期休暇でオフィスが手薄になった期間を集中して狙われたことなどが要因と考えられます。こうしたオフィスが手薄なタイミングでは、攻撃が増加しやすいとともに、攻撃を受けると発覚までに時間を要するため一層の注意と対策が重要です。」と述べている。

バックアップ

【転載】政府機関等に係る 2019 年度の情報セキュリティインシデント一覧

別添４－９ 政府機関等に係る 2019 年度の情報セキュリティインシデント一覧
nisc.go.jp/conference/cs/…:

別添４－９ 政府機関等に係る 2019 年度の情報セキュリティインシデント一覧

nisc.go.jp/conference/cs/…


バックアップ

【転載】#Emotet の分析をしているリサーチャーはここにまとめてダウンローダやMal本体を登録している事が多いです。ここはurlは固定ですので（他にもあるがUrlが固定ではなく、機械的に取り込みが面倒）検知のルールとして使うならオススメです。

#Emotet の分析をしているリサーチャーはここにまとめてダウンローダやMal本体を登録している事が多いです。ここはurlは固定ですので（他にもあるがUrlが固定ではなく、機械的に取り込みが面倒）検知のルールとして使うならオススメです。

urlhaus.abuse.ch/api/: #Emotet の分析をしているリサーチャーはここにまとめてダウンローダやMal本体を登録している事が多いです。ここはurlは固定ですので（他にもあるがUrlが固定ではなく、機械的に取り込みが面倒）検知のルールとして使うならオススメです。



urlhaus.abuse.ch/api/

すぐ貢献できる！偽サイトの探索から通報まで（転載）

すぐ貢献できる！偽サイトの探索から通報まで - Qiita:

不特定多数を狙った偽サイト・フィッシング詐欺は未然に防ぐのが難しく、犯罪者にとっては期待利益が高い犯行のひとつです。こうした現状を打開しようと、個人のボランティア活動として、技能を活かし「サイバー空間の浄化活動（サイバーパトロール）」に貢献されている方が数多くいらっしゃいます。本セミナーでは、誰かのために貢献してみたいとの志をお持ちの方へ、フリーツールを使った偽サイトの探索から得られた情報の通報先についてLIVE形式でご紹介いたします。

犯罪抑止のための打ち手

• 『刑務所の経済学』中島隆信 より抜粋

犯罪を抑止する方法は、犯罪から得られる便益を減らし、露見した時の損失を増やすことである。<省略>抑止のためには成功確率を下げればよい。

Pro bono publico:プロボノ

職務上の専門的な知識や経験、技能を社会貢献のために無償もしくはわずかな報酬で提供する活動

活動における基本的心得

• 警察庁「サイバー防犯ボランティア 活動のためのマニュアル」, 平成29年(2017年)5月 より抜粋

1. 安全を第一に
2. インターネットの実態を知る
3. 秘密の保持
4. 最新情報の共有
5. 関連機関・団体等との連携
6. 活動記録の保存
7. 実社会での活動

探索に有効なフリーツール

傾向を知る

• フィッシング対策協議会 緊急情報, https://www.antiphishing.jp/news/alert/
• JC3 犯罪被害につながるメール INDEX版, https://www.jc3.or.jp/topics/vm_index.html
• 国立大学法人 電気通信大学 情報基盤センター セキュリティ情報アーカイブ, https://www.cc.uec.ac.jp/blogs/news/cat62/

データの収集

• Yahoo!リアルタイム検索, https://search.yahoo.co.jp/realtime
• TweetDeck, https://tweetdeck.twitter.com/

リポジトリ

• PhishTank, https://www.phishtank.com
• OpenPhish, https://openphish.com/

ドメイン名の探索

• DN Pedia, https://dnpedia.com/tlds/search.php

派生ドメイン名

• dnstwister, https://dnstwister.report/

スクリーンショット取得

• ScreenshotMachine, http://screenshotmachine.com/

状態取得・調査

• Urlscan.io, https://urlscan.io/
• aguse.jp, https://www.aguse.jp/

サイト評価

• VirusTotal, https://www.virustotal.com/gui/domain/
• Google Safe Browsing API, https://safebrowsing.google.com/
• Trend Micro Site Safety Center, https://global.sitesafety.trendmicro.com/?cc=jp
• CheckPhish.ai, https://checkphish.ai/
• phishcheck.me, https://phishcheck.me/
• gredでチェック, http://check.gred.jp/

リバース WHOIS

• DomainTools Whois Lookup, https://whois.domaintools.com/
• DomainBigData, https://domainbigdata.com/

ドメイン Historical Data

• RiskIQ Community Edition, PassiveTotal, https://community.riskiq.com/home
• SecurityTrails, https://securitytrails.com/

ホスティングプロバイダの特定

• HostingDetector.com, https://hostingdetector.com/

最新の情報源については「普段の調査で利用するOSINTまとめ」をオススメします。

悪性ドメインのハンティング方法

1. 「DN Pedia」を使い、ブランド名や特徴的な単語をクエリに検索する
2. 「dnstwister」を使い、ホモグラフィック攻撃、タイポスクワッティング攻撃の聴講を確認する
3. 「HostingDetector.com」/「DomainTools Whois Lookup」/「DomainBigData」を使い、WHOIS情報を深掘りする
4. 「Google Safe Browsing API」/「VirusTotal」を使い評判を確認する

フィッシングサイトの通報

フィッシング対策協議会

詳細な情報提供方法は こちら

フィッシング対策協議会「フィッシング対策ガイドライン」, 2020年06月02日 より抜粋

協議会ではフィッシング詐欺報告は電子メールで受付けている。フィッシングメールに関する報告は、フィッシングメールを転送、あるいは本文に貼り付け、または以下のようにタイトル、差出人名、送信日時、概要などを記述して報告していただきたい。

• フィッシングメール報告の例

Subject：フィッシングメールに関する情報提供
タイトル：緊急のお知らせ
差出人名：john@xxbank.example.co.jp
送信日時：2008 年3 月XX 日
概要：○○銀行を装ってリンクを含んだメールを送ってきた。
--
○○ ○○（報告者氏名、匿名での報告も可）

• フィッシング被害報告の例

Subject：フィッシング被害に関する情報提供
概要：○○銀行をかたるフィッシング（e-mail を添付します）があり、そこに ID、パスワードを入力し
てしまいました。 すぐ気が付いたのでパスワードを変更し、当該銀行に連絡・相談し対策を進めて
います。 また、警察．．．
--
○○ ○○（報告者氏名、匿名での報告も可）

Google Safe Browsing

Report Phishing Page のフォームにフィッシングサイトのURLを報告。

PhishTank

PhishTankのアカウントを作成、ログインした上で報告することができます。
疑わしいURLを手元に用意し、Add a Phish にアクセスします。

プロバイダへのテイクダウン要請文例

フィッシング対策協議会「フィッシング対策ガイドライン」, 2020年06月02日 より抜粋

To whom it may concern,
[簡潔な企業プロファイル].
The website is located at the following address:
＜当該フィッシングサイトのURI＞
For your information, the fraudulent website appears to be a forgery of this legitimate
website:
<正規サイトのURL>
Please take all necessary measures to suspend services of this fraudulent site.
We highly appreciate your cooperation on this matter.
Thank you very much. Sincerely,

[担当者、送信者の名前]
[担当者、送信者の所属部署]
[企業名]
[国際電話番号]
[担当者、送信者のメールアドレス]

むすび

・現代のサイバー犯罪は経済活動が主目的

だからこそ打ち手がある

・犯罪者の期待利益を下げる取り組み

犯罪の「コスト」を上げ「成功確率」を下げる

・サイバー犯罪に対して一緒に戦いましょう

身の安全を確保し、まずはできることから

参考情報

• 普段の調査で利用するOSINTまとめ, https://qiita.com/00001B1A/items/4d8ceb53993d3217307e
• いまなお深刻なフィッシング詐欺被害, https://www.spread.or.jp/column/2015/04/22/2947/
• ゼロからはじめるフィッシング対策, https://ninoseki.github.io/2019/01/24/how-to-protect-you-from-phishing.html
• あやしいサイトの3分調査方法(初心者向け), https://qiita.com/moneymog/items/2205388ff18b3f89f021
• フィッシング対策ガイドライン 2020年度版, https://www.antiphishing.jp/report/antiphishing_guideline_2020.pdf

【転載】セキュリティ教育機関で2.8万件のデータ侵害、フィッシングが原因に

セキュリティ教育機関で2.8万件のデータ侵害、フィッシングが原因に:

ZDNet Japan Staff

2020-08-13 10:24

　セキュリティ教育機関のSANS Instituteは、職員が受信したフィッシングメールを通じて一部に個人を特定可能な情報を含む約2万8000件のデータが侵害されたことを明らかにした。

　SANSによると、データ侵害は8月6日に発覚した。電子メールの設定やルールの監査を行ったところ不審なメール転送が分かり、513通のメールが不審な外部のメールアドレスに送られていた。このメールには、氏名や企業名、肩書き、職場の電話番号、業種、住所、居住地域名などの情報を含むファイルが添付されていたという。この中にパスワードや金銭に関する情報は含まれていないとしている。

　調査からデータ侵害は、1人の職員が受信したフィッシングメールが原因と判明した。攻撃者は外部アドレスにメールを転送するとともに、不正なOffice 365のアドオンのインストールを試みたといい、これによってOffice 365の資格情報へのアクセスが1件許可されたが、実際に情報は漏えいしなかったとする。現在までに外部への転送や不正なOffice 365のアドオンの設定を削除し、ほかに影響がないことを確認したという。

　SANSは、今回の攻撃が標的型ではなく金銭を目的にしたものだった可能性があるとコメントし、影響を受けた個人などを特定して個別に連絡するとしている。また、今回のインシデントが米国や欧州連合（EU）の情報セキュリティ法規制に抵触するものではないと結論付けたが、当局の指導には従うとした。

　今後の調査で全容などが判明すれば、今回の経験をセキュリティトレーニングに反映していきたいともしている。

【転載】コロラド州の都市が攻撃され、45,000ドルの身代金を支払うことを余儀なくされました。

コロラド州の都市が攻撃され、45,000ドルの身代金を支払うことを余儀なくされた:

コロラド州のラファイエット市は、7月に暗号化されたファイルの復号化に45,000ドル相当の身代金を支払わなければならなかった。町は7月27日に攻撃され、ランサムウェアのサイバー攻撃は人々のスマートフォン、電子メール、支払いサービスに影響を与えました。攻撃の間、シティは問題の原因について何の説明もしなかった。それは、彼らが停止とのトラブルに直面している場合は、911または緊急サービスを呼び出すように人々に求めました。事件の数日後、ラファイエットは町がサイバー攻撃を受けたことを市民に知らせました。すべてのシステムはハッカーによって暗号化され、停電の問題が発生しました。

シティは失われた財務データを回収することができましたが、データを取得するためにハッカー(匿名)に45,000ドルの身代金を支払う必要がありました。支払いの受取人、未知のアイデンティティは、払い戻しの見返りに復号化ソフトウェアを提供しています。公式ウェブサイト上の町は、「システムサーバーとコンピュータは現在世話をされ、再建されています。完了すると、データがシステムに復元され、操作が再開されます。ハードウェアへの永続的な損傷は確認されていません。コアシティ事業は継続中ですが、オンライン決済システムは再開されていません。現時点では、市はすべてのシステムがバックアップされ、実行されるタイムラインを見積もることができません。ハーケンス市長は、交渉条件を損なう可能性があるため、攻撃者の身元を国民に明らかにしないことを決定しました。レポートによると、ユーザー データもクレジット カードの資格情報も盗まれていませんでした。市長は、彼らのアカウントで不審な活動を警戒し続けるように町民に助言しました。

ラファイエットの町は、ハッカーが見返りに最小限の身代金を要求したので、幸運でなければなりません。専門家によると、このような場合、身代金の需要は10万ドルから数百万ドルに達する可能性があります。"システム サーバーとコンピュータは現在、クリーンアップおよび再構築中です。完了すると、データがシステムに復元され、操作が再開されます。ハードウェアへの永久的な損傷は確認されていません」と、町のウェブサイトは言います。



ーー以下原文ーー



Lafayette city from Colorado had to pay a ransom amount worth $45,000 for decryption of files that were encrypted in July, as the City was unable to restore the data from the backup. The town was attacked on 27th July, and the ransomware cyberattack affected people's smartphones, emails, and payment services. During the attack, the City didn't offer any explanation about what caused the problems. It asked its people to call 911 or emergency services if they were facing trouble with the outage. After a few days of the incident, Lafayette informed the citizens that the town had suffered a cyberattack. All the systems were encrypted by the hackers, which caused the outage problem.

The City managed to recover the lost financial data, but it had to pay a ransom of $45,000 to hackers (anonymous) for retrieving data. The recipient of the payment, an unknown identity, has offered a decryption software in return for the refund. The town on its official website says, "system servers and computers are currently being cared for and rebuilt. Once complete, data will be restored to the system, and operations will resume. No permanent damage to hardware has been identified. While core City operations continue, online payment systems have not resumed. At this time, the City is unable to estimate a timeline that all systems will be back up and running." The city Mayor Harkens decided not to reveal the attacker's identity to the people as it might compromise their negotiation terms. As per the reports, neither user data nor the credit card credentials was stolen. The mayor has advised townpeople to stay wary of any suspicious activity in their accounts.

The Lafayette town must be lucky as the hackers demanded a minimal amount of ransom in return. According to experts, in cases like these, the ransom demand can go from a hundred thousand to millions of dollars. "System servers and computers are currently being cleaned and rebuilt. Once complete, data will be restored to the system, and operations will resume. No permanent damage to hardware has been identified," says the town's website.

【転載】日本海事協会ら、模擬船上機器システムにペネトレ実施 - 成果報告書

日本海事協会ら、模擬船上機器システムにペネトレ実施 - 成果報告書:

日本海事協会をはじめ、船舶関連事業者やITベンダーなど5者は船舶へのサイバー攻撃を想定したペネトレーションテストを実施し、その成果を取りまとめた。

船舶システムにおけるサイバーセキュリティ上のリスクが指摘されており、国際海事機関（IMO）におけるガイドラインや国際船級協会連合(IACS)の統一規則など、対策への要求が高まっていることから、船舶関連事業者とITベンダーで協力。日本海事協会、日本郵船、ジャパンマリンユナイテッド、MTI、NTTデータの参加のもと、新造船を想定して船上機器システムの模擬環境でペネトレーションテストを実施した。

テストの結果、船上機器が攻撃を受けた場合に船上での対応が必要となることが判明。また事前に対策ルールを形成しておく必要性などが明らかとなった。

また今回の取り組みにおける成果の一部を、「船上機器システムにおけるサイバーリスク対策検討のためのペネトレーションテスト成果報告書」として取りまとめた。

同報告書では、ペネトレーションテストの実施体制や手順、留意点などをまとめたほか、船上機器システムにおけるサイバー攻撃対策として有用な事例などを収録しており、日本海事協会のウェブサイトよりダウンロードすることができる。

（Security NEXT - 2020/07/21 ）

バックアップ