乐胖代购免代理版

フランスの大手ITサービスプロバイダーSopraSteriaがランサム（Ryuk）被害を受け、完全復旧には数週間かかる見込みの様です。

フランスのITサービス大手のSopraSteriaは、深刻なランサムウェア攻撃によって主要システムがオフラインにされた後、正常に戻るまでに数週間かかると述べています。

このグループは先週、火曜日の夜に攻撃を発見したと主張する非常に短いメッセージをWebサイトに投稿しました。

しかし、フィンテックビジネスのSopra Banking Softwareは本日のアップデートで、この事件がランサムウェア攻撃であることを確認しました。

「ウイルスが特定されました。これは、以前はウイルス対策ソフトウェアプロバイダーやセキュリティ機関に知られていなかったRyukランサムウェアの新しいバージョンです」と主張しました。

（Inforsecurity Magazine記事より引用）※機械翻訳

公式発表

Information on a cyberattack（10/21）

キタきつねの所感

SopraSteriaの公式発表は、非常に簡単に10/20にサイバー攻撃を検出して対応中という内容しか書かれていません。

こうした事件経緯があまり書かれてない場合、情報を内部に隠しておきたいという企業の意思があると思われますが、もう一方で、ランサムオペレータと交渉中であるから情報を開示できない、という可能性も感じます。

海外記事のリーク情報に出てきているのは、「新種のRyukランサムウェア」であるという点です。

この部分について、英国の著名なセキュリティブロガーであるグラハム・クラリー氏がブログ記事で面白い見方をしていました。

grahamcluley.com

興味深いことに、Sopra Steriaに対する攻撃は、RyukがCVE-2020-1472　特権昇格の脆弱性（Zerologonとも呼ばれる）を悪用して、企業ネットワーク内のドメインレベルの管理者アクセスを取得したという報告と並行して発生しました。

マイクロソフトは8月にZerologon脆弱性のパッチを作成し、エクスプロイトのリスクがあるため、この問題を重要な優先事項として対処するよう企業にアドバイスしました。

（GrahamCluleyブログ記事より引用）※機械翻訳

Sopra Steriaへの攻撃と、Zerologonの脆弱性を突かれてRyukが拡大していくDIFRレポートがUPされた時期が一致している（＝この情報がSopra Steriaを指している可能性がある）という指摘です。

真偽のほどは分かりませんが、このレポートを読むと、Ryukは最初のフィッシングから2時間でZerologon（CVE-2020-1472）を使って、特権昇格を果たし、ドメイン全体をランサムウェアで制圧するまでにわずか5時間しかかかっていません。

※レポートのフロー図を引用しますが、Ryukの攻撃手法の詳細を理解する（守り方を考える）上で役立ちそうな良レポートです。

グラハム・クラリー氏の記事から考えると、Netlogonの脆弱性（マイクロソフトは8/11にアラート、CISAは9/18に「Emergency Directive 20-04」（緊急指令）として、Netlogonの脆弱性対応を促していましたが、IT大手サービスプロバイダーであるSopra Steriaが「対応してなかった」可能性が高い様です。

Sopra Steriaは、被害範囲について影響範囲は限定的で、顧客データには影響が無いとコメントしている様ですが、

ソプラ・ステリアが「数日」後に攻撃を捕らえ、ITインフラストラクチャの「限られた部分」に限定したと主張しました。

「この段階で、徹底的な調査の結果、Sopra Steriaは、顧客の情報システムに生じたデータの漏洩や損傷を特定していません」と付け加えました。

「攻撃を分析し、修復計画を立てた後、グループは今日から、情報システムと運用を段階的かつ安全に再起動し始めています。」

ただし、事業全体で「通常に戻るまでに数週間」かかると警告した。

（Inforsecurity Magazine記事より引用）※機械翻訳