ランサムウエアによるサイバー攻撃を受けたゼネコンの鉄建建設(東京都千代田区)ですが、その後の調査で社員のPCに送られた取引先を装ったメールにより感染し、システムの管理者権限が奪われていたことが明らかになりました。同社が11月18日付のリリースで明らかにしました。
PCにリモートでアクセスされて認証サーバーへ
鉄建建設がシステム専門会社の協力を得て行った調査によると、攻撃の端緒は9月17日(木)に社員に届いたメールだということです。ログの解析や社員へのヒアリングにより、このメールにマルウエアを含むファイルが添付されていて、社員がメールを開封したことでPCがウイルスに感染したことが判明しました。このメールは同社の取引先を装ったものだったということですから、犯人は当初から鉄建建設を狙って攻撃を仕掛けたものと思われます。
社員PCのウイルス感染後、犯人は最初に感染した社員PCを含む3台のPCにリモートでアクセスし、同社の認証サーバーに辿りついて管理者権限を奪ったということです。そして9月23日(水)の早朝、同社の認証サーバー等のサーバー群に不正アクセスし、各種サーバーの暗号化と社員が使用しているPCのアンチウイルスソフトの削除プログラムを実行しました。暗号化被害は同社が保有している約70台のサーバーのほぼすべてにおよび、特にメールサーバーの被害が大きかったということです。また、サーバーに記録されていたデータの一部が窃取され、サーバー内に英文で攻撃者の連絡先URLが記載されていました。
鉄建建設では、9月23日午前7時頃に社内システムの異常を検知し、システム部門で社内ネットワークの状況を確認してウイルス感染が疑われたことから全社員のPCと社内ネットワークを切断してシステム専門会社に通報する措置をとりました。しかし、犯人は攻撃の1週間も前から社員PCを通じて同社のシステム内に侵入し、システムを嗅ぎまわって認証サーバーを探し出し、管理者権限を奪って攻撃をする準備を整えていたのです。
同社は翌9月24日にシステム障害対策本部を設置し、「システム障害発生のお詫びとお知らせ」とのリリースを発表していますが、9月23日午前の時点で被害を受けたサーバー内に英文で攻撃者への連絡先URLが記されていることを確認し、翌24日には攻撃者とは連絡をとらないことを意思決定していることから、当初よりランサムウエアによるサイバー攻撃との認識が内部的にはあったものと思われます。その後、10月9日にランサムウエア攻撃を受けたことを公表、攻撃者に連絡をとらないことや一部データが窃取されたことなどをリリースで明らかにし、システムの復旧と被害実態の調査を進めるとしました。
不審な通信やデータの流れを監視する機器を新たに設置
こうした経緯を受けて、11月18日付リリースでは調査の報告と同日午前より同社のドメインメールが順次復旧することを告知しました。9月23日にメールサーバー等に暗号化の攻撃を受けてからメールの復旧に2カ月近くを要しており、被害の大きさを物語っています。また、11月18日付リリースでは、窃取されたデータの量や窃取されたデータの具体的な内容については調査を継続しているものの、その詳細の特定には至っていないということです。さらに被害を受けたサーバーについてはクリーンナップ作業を終え、順次復旧作業を進めているとしていて、社員PCへの対応も含めて完全復旧にはなお時間がかかるようです。
今回の事態を受けて鉄建建設では、ネットワーク上に通常とは異なる通信や不審なデータの流れを検知する新たな機器を設置し、PCにも挙動を監視する新たな機能を付加したということです。今後はパターンファイルによる既知ウイルスへの対応に加え、通信やデータの流れなどから未知のウイルスについても対応が可能になると表明しています。また、今回の事態を踏まえて全社員を対象に情報セキュリティに関する教育を行ったということです。
鉄建建設へのサイバー攻撃は社員PCに取引先企業を装ったメールが届き、そのメールを開封したことでウイルスに感染、システム内に侵入されたことが明らかになりました。犯人が侵入してから実際に攻撃を仕掛けるまで1週間近くありましたが、この間、システム内での不審な挙動については検知されず、事前に攻撃を防御するには至りませんでした。また、認証サーバーが特定されて管理者権限が奪われたことであらゆるサーバーと社員PCが攻撃を受けるに至りました。管理者権限については、Zerologonの脆弱性が悪用されたのか気になるところですが、この点ついて鉄建建設のリリースでは明らかでありません。
■出典
https://www.tekken.co.jp/topics/assets/20201118_saibaosirase.pdf
https://www.tekken.co.jp/topics/assets/20201009_topics.pdf
https://www.tekken.co.jp/topics/assets/20200924_serverinfo.pdf