#759 UTM機器へのブルートフォース攻撃後にRDP接続で侵入 ～ 東京損保鑑定へのランサムウェア攻撃

今回は、東京損保鑑定株式会社が直面したサイバー攻撃についてお話しします。この攻撃は、UTM機器へのブルートフォース攻撃を経て、RDP接続を通じてサーバに侵入し、ランサムウェアによるファイルの暗号化が行われたというものです。リスナーの皆さんは、今回の放送を通じて、サイバー攻撃の手法やその影響、そしてどのように対策を講じるべきかについての理解を深めることができるでしょう。

東京損保鑑定株式会社は、2024年12月25日に、10月7日に発表した不正アクセスによる個人情報漏えいの可能性についての調査結果を公表しました。事件は2024年8月29日に発覚し、同社のサーバがアクセス不能な状態になっていたため、サーバ保守業者に確認を依頼したところ、サーバが暗号化されていることが判明しました。その後、セキュリティ専門会社に調査を依頼し、被害拡大防止措置と原因調査を行いました。
調査の結果、攻撃者がサーバに置いたファイルには、要求に応じなければダークウェブに情報を公開するというメッセージが含まれていました。幸いにも、現時点で情報の公開や新たな攻撃活動は確認されていないとのことです。調査によると、UTM機器へのブルートフォース攻撃が行われ、その後RDP接続を通じてサーバに侵入し、ランサムウェアが実行されてファイルが暗号化されたと考えられています。
また、攻撃者による情報の外部送出は確認されていないものの、サーバの複数のローカルフォルダへの不正アクセスがあったことや、ログが削除された可能性があるため、情報が外部に送出された可能性を完全には否定できないとされています。漏えいした可能性のある個人データには、保険契約者や従業員、取引先担当者に関する情報が含まれています。東京損保鑑定は、対象者に個別に連絡を行うとともに、システムやネットワーク環境の入れ替え、多要素認証の導入、EDRやクラウドのセキュリティ対策の強化を行ったと報告しています。

このインシデントを防ぐためには、まずは強固なパスワードポリシーを導入し、ブルートフォース攻撃に対する防御策を講じることが重要です。具体的には、パスワードの複雑さを求めることや、定期的なパスワード変更を促すことが効果的です。また、UTM機器やファイアウォールの設定を見直し、不要なポートやサービスを無効にすることも重要です。さらに、多要素認証を導入することで、万が一パスワードが漏洩した場合でも、攻撃者がアクセスするのを防ぐことができます。定期的なセキュリティ監査や脆弱性診断を行い、システムの弱点を早期に発見し対策を講じることも大切です。

このインシデントから学ぶべき教訓は、サイバー攻撃がどのように発生するかを理解し、事前に対策を講じることの重要性です。特に、攻撃者は常に新しい手法を用いてくるため、企業は最新のセキュリティー情報を常に把握し、適切な対策を講じる必要があります。また、従業員へのセキュリティー教育も重要です。従業員がフィッシングメールや不審なリンクに対して警戒心を持つことで、攻撃のリスクを低減できます。さらに、インシデント発生時の対応計画を策定し、定期的に訓練を行うことで、迅速かつ適切な対応が可能になります。

インシデントが発生した場合、まずは被害の範囲を確認し、影響を受けたシステムやデータを特定することが重要です。その後、直ちにシステムを隔離し、さらなる被害を防ぐための措置を講じます。次に、セキュリティー専門家やインシデント対応チームに連絡し、調査を依頼します。調査が進む中で、関係者への情報共有や、必要に応じて法的な手続きを行うことも考慮する必要があります。最後に、インシデントの原因を分析し、再発防止策を講じることが重要です。

インシデントが発生した際の情報公開は非常に重要です。まず、影響を受けた顧客や関係者に対して、迅速かつ正確な情報を提供することが求められます。情報公開の際には、被害の内容や影響、今後の対策について明確に伝えることが重要です。また、法的な義務がある場合には、適切な機関への報告も必要です。情報公開は信頼回復のための重要なステップであり、透明性を持って対応することが求められます。

このインシデントは、業界全体に対して警鐘を鳴らすものとなります。特に、サイバー攻撃の手法が進化していることを示しており、企業はその脅威に対して常に警戒を怠らない必要があります。また、同様の攻撃が他の企業にも波及する可能性があるため、業界全体での情報共有や協力が重要です。さらに、顧客の信頼を損なう可能性があるため、企業はセキュリティー対策を強化し、透明性を持って情報を公開することが求められます。このようなインシデントを通じて、業界全体のセキュリティー意識が高まることが期待されます。