starthome-logo 無料ゲーム
starthome-logo

ESXiサーバーと仮想マシンを標的とし、超高速で攻撃を仕掛ける新種のPythonランサムウェアをソフォスの研究者が発見

2021年10月22日
<<報道資料>>
ソフォス株式会社

ESXiサーバーと仮想マシンを標的とし、超高速で攻撃を仕掛ける新種のPythonランサムウェアをソフォスの研究者が発見

※本資料は2021年10月5日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、ESXiハイパーバイザー上でホストされている仮想マシンを侵害してファイルを暗号化する、Pythonで書かれた新しいランサムウェアの詳細を公開しました。「ESXiサーバーを暗号化するPythonランサムウェアスクリプト」(https://news.sophos.com/ja-jp/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption-jp-2/)と題した調査レポートで、標的を絞り込み、侵入から暗号化までを3時間以内に行う攻撃の手順を紹介しています。

ソフォスの主席研究員であるAndrew Brandtは次のように述べています。「この攻撃は、ソフォスがこれまでに調査したなかで最も速いランサムウェア攻撃であり、ESXiプラットフォームを正確に狙っています。Pythonは、ランサムウェアではあまり使用されないプログラミング言語です。しかし、ESXiなどのLinuxベースのシステムにはプリインストールされていることから、そのようなシステム上ではPythonを用いた攻撃が可能です。ESXiサーバーを侵害することで、重要な業務アプリケーションやサービスを実行している可能性のある複数の仮想マシンを一度に攻撃できるため、ランサムウェア攻撃者の格好の標的になっています。ハイパーバイザーへの攻撃は迅速かつ高い破壊力をもっており、DarkSideやREvilなどのランサムウェアのオペレーターもESXiサーバーを攻撃の対象としています」

●攻撃の時系列
今回ソフォスが調査した攻撃は日曜日の午前0時30分に、ランサムウェアのオペレーターがドメイン管理者のアクセス権限を持つユーザーのコンピューター上で実行されているTeamViewerアカウントに侵入したことで始まりました。

ソフォスの研究者によると、侵入から10分後、攻撃者はAdvanced IP Scannerツールを使ってネットワーク上の標的を探し始めました。標的となったESXiサーバーが脆弱だったのは、ITチームがコマンド実行やアップデートに使用するプログラミングインターフェイスであるシェルが有効になっていたためだと考えられます。攻撃者はこのシェルを利用して、ドメイン管理者のマシンにBitviseと呼ばれるセキュア通信ツールをインストールし、ESXiシステムおよび仮想マシンが使用する仮想ディスクファイルにリモートでアクセスしました。午前3時40分ごろ、攻撃者はランサムウェアを展開し、ESXiサーバーでホストされていた仮想ハードドライブを暗号化しました。

●対策
先述のBrandtは次のように述べています。「ESXiやその他のハイパーバイザーをネットワーク上で運用する管理者は、セキュリティのベストプラクティスに従うべきです。総当たり攻撃による推測が困難な固有のパスワードを使うことや、多要素認証を行うことなどもその一部です。ESXiシェルは日頃から、従業員がパッチのインストールなどに使用していないときには常に無効にしておくべきです。ITチームはサーバーコンソール、あるいはベンダーが提供するソフトウェア管理ツールを使用して、このように設定できます」

Intercept Xを始めとするソフォスのエンドポイントプロテクション製品はランサムウェアやその他の攻撃の動作や挙動を検知してユーザーを保護します。ランサムウェアによるファイルの暗号化は、CryptoGuard機能によって阻止されます。また、ESXiハイパーハイザーの管理者向けのセキュリティガイダンスもオンラインで公開されています。

ソフォスは、ランサムウェアや関連するサイバー攻撃から身を守るため、以下のベストプラクティスに従うことを推奨しています。

●セキュリティ保護の戦略
・多層防御を導入する:恐喝を伴うランサムウェア攻撃が増加しています。バックアップは依然として必要ですが、対策としては不十分です。攻撃者を最初からネットワークに寄せ付けないこと、あるいは攻撃によって被害を受ける前に迅速に検知することが、これまで以上に重要です。多層防御を利用して、レイヤ内の可能な限り多くの場所で攻撃者を検出して、阻止できるようにしてください。

・専門家による保護とランサムウェア保護技術を併用する:ランサムウェアによる攻撃から組織を守るためには、専用のランサムウェア対策技術と専門家の人力による脅威ハンティングを組み合わせた徹底した防御が必要です。ランサムウェア対策技術は大規模かつ自動的に組織に展開できる利点がある一方で、攻撃者による環境への侵入を示すTTP(戦術、技術、手順)の検知は人間の専門家がより得意としています。組織内に高いスキルを有する専門家がいない場合は、サイバーセキュリティの専門家によるサポートを受けることを検討してください。

●セキュリティ保護の日々の実践方法
・アラートを監視し、すばやく対応する:組織に潜在する脅威を監視、調査、対応するために適切なツール、プロセス、およびリソース (人) が配備されていることを確認しましょう。ランサムウェアの攻撃者は、アラートを監視している担当者がほとんどいないと思われるオフピークの時間帯や週末、あるいは休日に攻撃を仕掛けてくることが多くあります。

・強固なパスワードを設定して使用する:強固なパスワードは、脅威からの身を守るための基礎の一つです。パスワードは固有で複雑なものに設定し、決して使い回さないようにしてください。従業員の認証情報を保存できるパスワードマネージャーの導入も検討してください。

・多要素認証(MFA)を使用する:どれほど強固なパスワードでも侵害される可能性があります。電子メール、リモート管理ツール、ネットワーク上のマシンなどの重要なリソースへのアクセスを保護するために、どのような場合でも多要素認証を用いることをお勧めします。

・サービスへのアクセス経路を塞ぐ:外部からネットワークスキャンを行い、VNC、RDP、その他のリモートアクセスツールでよく使用されるポートを特定して閉じてください。リモート管理ツールを使用してマシンにアクセスする必要がある場合は、VPNや、ログイン時にMFAを使用するゼロトラックネットワークアクセスサービスを通じて利用しましょう。

・セグメンテーションおよびゼロトラストを実践する:ゼロトラストネットワークモデルを実現するため、重要なサーバーを別のVLANに配置して他のサーバーや個人用のマシンから分離してください。

・データやアプリケーションのオフラインバックアップを取る:バックアップを最新の状態に保ち、いつでも復元できるようにしてください。バックアップはオフラインで保管してください。

・ネットワーク上のマシンとアカウントの一覧を作成する:ネットワーク上の未知のデバイス、保護されていないデバイス、パッチが適用されていないデバイスはリスクを増大させ、悪意のある活動が秘密裏に行われる状況を作り出します。接続されている全てのマシンの最新のインベントリを把握することが重要です。ネットワークスキャン、IaaSツール、目視での確認などを併用して接続されているマシンの場所を確認して一覧を作成し、保護されていないマシンにはエンドポイント・プロテクション・ソフトウェアをインストールしてください。

・セキュリティ製品の設定を確認する:保護されているシステムやデバイスであっても脆弱な場合があります。セキュリティ製品が正しく設定されていることを確認し、必要に応じてセキュリティポリシーを定期的に確認、検証、更新することが重要です。新しいセキュリティ機能が自動的に有効になるとは限りません。改ざん防止機能を無効にしたり、検出除外範囲を広く設定することは攻撃を受けるリスクを増大させるだけなので控えましょう。

・Active Directory(AD)を適正に管理する:ADアカウントを定期的に検査し、必要最小限以上のアクセス権が付与されていないことを確認しましょう。退職する社員のアカウントは、即座に無効にしてください。

・すべてのソフトウェアにパッチを適用する:Windowsやその他のOS、ソフトウェアを常に最新の状態に保ちましょう。パッチが正しくインストールされているか、インターネットに接続するマシンやドメインコントローラーなどの重要なシステムにパッチが適用されているかを再確認してください。

さらに詳しく知りたい方は、SophosLabs UncutのPythonランサムウェアに関する記事をご覧ください。

●その他の参考資料

・SophosLab Uncutではソフォスの最新の脅威インテリジェンスを公開しており、さまざまなタイプの脅威に応じた戦術、技術、手順(TTP)などを参照できます。
https://news.sophos.com/ja-jp/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption-jp/

・攻撃者の行動、インシデントレポート、セキュリティ運用担当者のためのアドバイスなどは、Sophos News SecOpsでご覧いただけます。
https://news.sophos.com/ja-jp/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption-jp-2/

・24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx

・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx

・受賞歴のあるソフォスのニュースサイトNaked Security(https://nakedsecurity.sophos.com/ja/)とSophos Newsで最新のセキュリティニュース(https://news.sophos.com/ja-jp/)とソフォスの解説をご覧ください。

●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    2. サンド伊達みきおがガックリ「終わるのはショックすぎ、寂しいですね」14年続いた番組終了惜しむ

    3. 四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」

    4. 吉田沙保里、大久保嘉人との不倫疑惑を一蹴するも冷ややかな声

    5. 「私は痩せていた」やす子、自衛官時代の写真公開し反響「可愛い」「細いね~」

    6. アイドルグループ「重大な契約違反」メンバー解雇 詳細は公表せず「深くお詫び」

    7. ビートきよし「おじさんはフード着ちゃいけない」の声に“一言”で切り返し 称賛の声集まる

    8. 下條アトムさん死去 78歳

    9. 陣内智則「泣き崩れてた」フジ人気女子アナと別れる寸前だった「その姿見た時に…」

    10. 藤井聡太王将「読みをまとめることができなかった」 王将戦第4局

    1. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    2. 台湾トップ女優、日本旅行中にインフルエンザにかかり肺炎合併症で死亡

    3. 小島瑠璃子夫の会社が訃報掲載「29歳で永眠いたしました」通夜・葬儀は「近親者のみで」

    4. 吉田沙保里、大久保嘉人との不倫疑惑を一蹴するも冷ややかな声

    5. 小島瑠璃子の夫が救急搬送先で死亡、事件性なし 23年に結婚

    6. 四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」

    7. 小島瑠璃子が夫の急死つづる「突然の別れとなり、後悔がたくさんあります」

    8. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    9. 天木じゅん「透けすぎ」バスト写真を大胆公開!「天然のおっぱいですからね」

    10. 交際していた小島瑠璃子めぐる憶測に「キングダム」原泰久氏が注意喚起「これが事実です」

    Tips

    1. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    2. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    3. データ集計・分析に役立つExcel機能、ピボットテーブルやフィルターの基本の使い方をご紹介!

    4. データ集計・分析に役立つExcelの基本の関数5選|ROUND関数、TDAY関数、VLOOKUP関数、IF関数、COUNTIF関数

    5. 条件付き書式が機能しない場合の解決方法

    game_banner
    おすすめ

    1. 結婚発表の荻野由佳ラジオで報告 年始の占いで電撃婚予言され本当にプロポーズ「ビックリ!」

    2. 【51分で10回】「俺に賢者タイムはない」驚異的体質の男性を調査した研究

    3. 赤ちゃん犬を家族に→先輩犬との『1年間の軌跡』が…絆を深めていく光景が感動的だと10万再生「素敵な関係」「運命の出会い…泣いた」と絶賛

    4. KEY TO LIT猪狩蒼弥、今後も「皆さんに興奮と熱狂を与えます」ファンへ約束

    5. KEY TO LIT中村嶺亜、7 MEN 侍への思い「痺愛を武道館に連れて行きたかった」

    6. B&ZAI稲葉通陽「夢を見るだけでなくかなえる瞬間を皆さんと共有して行けたらと思います」

    7. かわいすぎて話題の「ハムスターモナカ」に、桜餡を使った春限定バージョンが登場♡

    8. 犬はなぜ『ウンチ』をしているときに飼い主を見つめるの?排泄中の心理や愛犬が伝えたいことまで

    9. 国士舘大の大澤英雄理事長逝去、89歳 JFAが発表「通夜、告別の詳細は決定しておりません」

    10. B&ZAI鈴木悠仁、新グループ加入は「僕自身の挑戦」少年忍者のメンバーからは前向きな言葉

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.