未だ解決ができない標的型ランサムウェア 通称:Conti

Irish cyber-attack: Hackers bail out Irish health service for free

Hackers responsible for causing widespread disruption to the Irish health system have unexpectedly gifted it with the tool to help it recover.

www.bbc.com

アイルランド共和国の医療サービスがサイバー攻撃の犠牲になってから1週間以上が経過しており、未だに解決の兆しはありません。政府は一貫して、患者の情報と引き換えに身代金をハッカーに支払われることはないと繰り返しています。セキュリティ専門家がマルウェアを追跡するために、数多くのコンピューターがシャットダウンされました。これは、多くの病院が記録を保持するためにペンと紙の時代に戻ったことを意味します。

しかし、それによって患者の容態を比較するためにコンピューターに保存された検査データにアクセスできない多くの医師、コンサルタント、および歯科医に問題を引き起こしています。これは明らかに、多くの患者、特に癌やその他の重篤な病気を患っている患者にとって不安な時を過ごしていと思われます。

当然のことながら、普段通りのサービスを再開するには身代金を支払う必要があります。IT専門家の中には、最終的にお金を払うのではないかと疑っている少数派の見方もあるようです。

サイバー攻撃は、古いWindowsを使用していたアイルランドの医療サービスの脆弱性を浮き彫りにしました。IT専門家は、サイバーセキュリティへの十分な投資がされずに起こるべくして起こった事故であると述べています。

アイルランド共和国の医療サービスの正式名称であるHealth Service Executive(HSE)は、一般データ保護規則(GDPR)の規則に基づく不十分なデータ保護に対して、最高100万ユーロ(1億3200万円)の罰金を科せられる可能性があると示唆する人もいます。

数千万人の個人情報がインターネット上で公開されてしまい、過失によるプライバシー侵害で医療サービスを訴えるかどうか議論するのは時期尚早かもしれません。その間にもHSEは、ハッカー(または個人や企業)が情報を共有、処理、または販売することを防ぐ高等裁判所の命令を確保しました。裁判所の差し止め命令によって、Twitter、Google、Facebookなどのソーシャルメディアプラットフォームにも適用されるため、情報を広めるための手段が制限されます。

HSEの責任者であるPaulReidは、システムを復旧して稼働させるのに「数千万」ユーロはかかると見積もっています。政府もまた、彼らの病歴がオンラインで公開される予定が近づいているため、ヘルプラインを設置しています。

HSEはセキュリティ対策の資金不足によって高額な代償を支払いますが、他の公共サービスも同様のサイバー攻撃に対して脆弱である可能性があるという懸念があります。

原因について

National Cyber Security Centreは、米国のIT企業 FORTRA ( 旧 HelpSystems ) が販売する侵入テストツールCobalt Strikeが、HSEと保健省のシステムの侵入と感染、EXEファイルの実行、Contiランサムウェアの亜種を展開するために使用されたと特定しました。 Cobalt Strike Beaconの感染がシステム上で検出されており、これによりシステムのコントロールとリモートでのEXEファイルの実行が可能であることが分かりました。

犯行グループは、ロシアのサンクトペテルブルクで活動していると思われるWizard Spiderとして知られる犯罪組織であることが確認されています。

経緯

2021年3月16日  Wizard Spiderから悪意のあるメールを受信

2021年5月13日 セキュリティベンダーは、5月7日以来、少なくとも16のシステムで不正なアクセスがあったことをHSEセキュリティオペレーションチームにメールで連絡、サーバ担当チームがサーバを再起動させる。

2021年5月14日 午前4時HSEはコアサービスへの攻撃によってパブリックとローカルの両方のシステムに影響を与えるアラートを受ける。攻撃から保護し、対策を検討する時間を確保するためシステムをダウンさせる。

2021 年5月16 日 国会議員のCathal Berryは、国家のサイバーセキュリティに責任を負うNational Cyber Security Centreは、25人のスタッフしかおらず、年間予算は500万ユーロ、専用の施設はなく、その所長のポストは年間89,000ユーロであり1年間空席だったと指摘した。

対策

HSEは、National Cyber Security CentreGarda SíochánaIrish Defence Forcesのほか、EuropolInterpolを含む国内外のさまざまなパートナーに協力を要請。

公共調達と電子政府担当の国務大臣であるOssian Smythは、攻撃は国際的なものであり、スパイ行為ではなく、「これは非常に重大な攻撃であり、おそらくアイルランド国家に対するサイバー攻撃である」と述べた。

HSEはゼロデイ攻撃であり防ぐ方法がなかったと主張。 保健大臣 Stephen Donnelly によれば医療と社会福祉サービスに深刻なダメージを与えており、HSE長官 Paul Reid は、復旧するためには数千万ユーロの費用がかかると述べた。

当初、Business Postは3ビットコインまたは124,000ユーロの身代金要求がなされたと報じていたが、Bleeping Computerによると、身代金の見積もりは1650万ユーロであり、データの復号化と「個人データ」を公開しないことを申し出たと報じた。しかし、Michheál Martin 党首は身代金は支払われず、代わりに攻撃は「計画的方法」で対処されると述べている。

サイバーセキュリティ企業であるMcAfeeとFireEyeは、被害の拡大を防ぐため漏洩したデータのためにダークウェブサイトを監視。

5月16日、社会保護省は「持続的で激しい攻撃」を受けたが、犯罪集団はセキュリティを突破することができなかったと報告。同省はその後、通信経路を遮断した。

5月20日、Eamon Ryan 通信大臣は、ハッキングの結果として健康情報が公開された個人を支援するためにヘルプラインが設置すること、ソーシャルメディア企業は公開された情報を共有しないよう要請、HSEは情報の共有を禁止するために高等裁判所の差し止め命令を得たと述べた。 同日、HSEによると暗号化したファイルの復元を可能にする復号キーを組織的サイバー犯罪グループが提供したと報告されている。一方、アイルランド警察は医療サービスを提供できないリスクが数週間にわたって高くなるという警告の中で、5月24日の時点では個人データにアクセスできないため、個人データについていかなる脅しも「便乗商法」であると伝えている。

5月27日、HSEの最高責任者であるPaul Reidは、ITシステムに対するサイバー攻撃のコストは1億ユーロを超える可能性があると述べた。

国防軍のCIS部隊は、ランサムウェア攻撃に対抗するために ethical hackers を配備し、影響を受けたデバイスを解読するためにCISの人員を病院とHSEのオフィスに派遣した。陸軍の予備役兵士は、本職のサイバーセキュリティのスキルと民間企業での経験が、この取り組みで特に役立った。

9月5日、アイルランド警察はランサム攻撃の背後にいる犯罪集団を標的とした大規模な作戦を実施、サイバー攻撃と他のランサムウェア攻撃で使用されたいくつかのドメインを押収した。

その後のContiについて

Contiは、プロジェクトのフロントマン、別名「サイバーギャングスター」こと “reshaev”:リシャエフなしには成り立ちません。才能あるコーダーであることに加え(彼らはオリジナルのRyuk payloadの黒幕だった)、この人物は優れた統率者であった。スキル、チームワーク、明確なビジネスプロセス、ヒエラルキー、明確な先見性に基づく組織システムを構築し、サイバー犯罪ビジネスにおけるContiの優位性の基礎を築いたのは リシャエフ だったのです。

2021年にアイルランド共和国の医療サービスを襲ったContiが、姿を変えて新たな脅威として活動しております。ADV INTEL のレポートを元に現在のContiについて、まとめました。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ