BLOG

2024 年 11 月 27 日

2024 年 9-10 月の脅威動向と代表的な攻撃（前編）

2024 年 9-10 月の脅威動向を見るために、記事末尾で 9-10 月の代表的なインシデント・攻撃等を羅列しています。もちろんこれらは代表的なものであり、その他にも多くのインシデントが発生しています。

今回は 9-10 月に発生した中でも以下の二点を前編・後編にわけて解説します。

CASIO のランサムウェア被害
東京損保鑑定のランサムウェア被害

特に東京損保鑑定に関しては詳細が（記事執筆の 10 月時点では）判明していませんので、判明している情報だけを記載します。

1. CASIO のランサムウェア被害

1-1. エグゼクティブサマリー

項目	内容
Who（誰が）	Underground ランサムウェアグループと思われる
When（いつ）	2024 年 10 月 05 日、CASIO のサーバへの不正なアクセスが確認される。
Where（どこで）	CASIO のサーバ
What（何を）	CASIO の環境にある個人情報を含む顧客・取引先のデータ
Why（なぜ）	金銭目的と思われる
How（どのように）	現時点では判明していない。仮に Underground が犯行グループだとすると、一般的にはメールや IAB からの購入による初期アクセスが考えられる
回避策	マルウェア対策ソフトウェアやその他のセキュリティツールの使用システムの更新とパッチ適⽤従業員へのトレーニング堅牢なバックアップおよびリカバリ計画

1-2. When（いつ）

以下、時系列になります。CASIO の発表を元にしています。

日時	内容
2024/10/05	CASIO の一部のサーバーにおいてシステム障害が発生し、複数のシステムが使用不能となった事態を受け調査を行ったところ、サーバーが不正アクセスを受けた形跡を確認。外部のセキュリティ専門企業へフォレンジック調査を依頼するとともに、同日、不正アクセスを受けたサーバーをインターネットや社内ネットワークから遮断する措置を講じる。
2024/10/06	CASIO から警察に相談
2024/10/07	CASIO から個人情報保護委員会に相談
2024/10/08	CASIO から「当社ネットワークへの不正アクセスによるシステム障害について」が公開される。
2024/10/09	CASIO から個人情報保護委員会に報告
2024/10/11	CASIO から「当社におけるランサムウェア被害に伴うサービスの一部停止と情報漏えいに関するお知らせ」が公開される。

＜参考情報＞

1-3. Where（どこで）

ランサムウェアグループによる攻撃を受けたのは CASIO の一部のサーバーになります。

1-4. What（何を）

CASIO 社の公開情報によると、このインシデントで 2024/10/11 の時点で判明しているものでは

情報漏えいの可能性がある個人情報等

CASIO の従業員（派遣社員、契約社員等を含みます）の個人情報
CASIO の一部関係会社の一部の従業員の個人情報
CASIO および CASIO の一部関係会社のお取引先様の個人情報
過去に CASIO の採用面接を受けた一部の方の個人情報
CASIO および CASIO の一部関係会社の提供するサービスをご利用された一部のお客様に関する情報（なお、クレジットカード情報は含まれない）

情報漏えいの可能性があるその他の情報

CASIO および CASIO 関係会社の一部の現在および過去のお取引先様との契約書、請求書、売上等に関する情報
CASIO および CASIO 関係会社の法務、財務、人事計画、監査、営業、技術に関する情報を含む社内文書

が漏洩した、もしくは漏洩の可能性のある情報・影響範囲となります。

＜参考情報＞

1-5. Who（誰が）

CASIO への攻撃に関して、10/10 に Underground Team ランサムウェアグループが犯行声明を出しています。

1-5-1 Underground ランサムウェアグループ（別名 Underground Team Ransomware Group, UndergroundDataLeaks)

Underground ランサムウェアグループが活動を始めたのは 2023 年 7 月頃の様です。2023/07/05 の Cyble Research and Intelligence Labs (CRIL) の情報によると、2023 年 7 月の時点では被害者は不明でしたが、標的型攻撃を用いる新しい脅威アクターとして認知されていました。

Underground ランサムウェアグループは、被害者に身代金の支払いを迫るために盗んだデータの一部を漏洩させると脅迫する、いわゆる二重恐喝手法を使用したグループになります。

（画像は Cyble: 「Underground Team Ransomware Demands Nearly $3 Million」より転載。暗号化された後の身代金要求メッセージ）

（画像は Cyble: 「Underground Team Ransomware Demands Nearly $3 Million」より転載。身代金要求メッセージに記載されている URL にアクセスすると表示される Underground ランサムウェアグループのログインパネル）

（画像は Cyble: 「Underground Team Ransomware Demands Nearly $3 Million」より転載。以降、チケットシステムのようなプラットフォーム上で身代金に関する交渉が行われる）

2024/08/30 の Fortinet ブログによると、Underground Team Ransomware はロシアを拠点とする RomCom グループ ( 別名 Storm-0978) に使用されているのが観測されています。そのため、Underground Team Ransomware グループと RomCom グループ (Storm-0978) の関係性が疑われています。

また、WatchGuar 社の情報によると、Underground は恐喝サイトにで「UndergroundDataLeaks」とも名乗っており、Telegram の恐喝サイトでも「UndergroundDataLeaks」が使われています。

＜参考情報＞

Cyble Research and Intelligence Labs (CRIL): 「Underground Team Ransomware Demands Nearly $3 Million」
Fortinet: 「Ransomware Roundup - Underground」
WatchGuard: 「Underground (Active)」

1-5-2 Underground ランサムウェアグループの被害組織

DailyDarkWeb の「Data Breach Group UndergroundDataLeaks Increases Data Breach Operations」によると、2024 年 5 月時点で Y. Hat & Co., Ltd. Cochrane International. 等のような企業が Underground Team ランサムウェアグループ (UndergroundDataLeaks) の標的として登録されています。漏洩したデータのサイズは 30GB から数 TB まであり、米国・アラブ首長国連邦・韓国・ヨーロッパなどに被害者が出ています。

（画像は DailyDarkWeb の「Data Breach Group UndergroundDataLeaks Increases Data Breach Operations」より転載）

　また、Fortinet 社の「Ransomware Roundup - Underground」によると、下記の様に UndergroundDataLeaks による公開が 8 月に行われていた模様です。

（画像は Fortinet 社の「Ransomware Roundup - Underground」より転載）

これらのデータから Fortinet が集計したところによると、下の表にように国・業種もバラバラになっていました。

（画像は Fortinet 社の「Ransomware Roundup - Underground」より転載）

これらから、被害にあった企業の国は米国・アラブ首長国連邦・韓国・スペイン、ドイツ、台湾、シンガポール、カナダ、スロバキアなど他国に渡っており、業種も多種に渡っているのがわかると思います。

＜参考情報＞

DailyDarkWeb: 「Data Breach Group UndergroundDataLeaks Increases Data Breach Operations」
Fortinet: 「Ransomware Roundup - Underground 」
WatchGuard: 「Underground (Active)」

1-6. Why（なぜ）

犯人が Underground Team Ransomware グループだとすると、金銭目的の犯行だと思われます。

1-7. How（どのように）

現状では CASIO から具体的にどの経路で侵入されたかが明らかにされていないため、前出の Fortinet の情報を元に解説します。

1-7-1 Underground ランサムウェアグループの概要

Underground の概要
名前	Underground ランサムウェア
種類	二重脅迫型ランサムウェアグループ
標的	さまざまな分野で業種を問わない企業
主な標的国	米国・アラブ首長国連邦・韓国・スペイン、ドイツ、台湾、シンガポール、カナダ、スロバキア、日本など

WatchGuard 社の情報によると、Underground は恐喝／交渉に Tor サイトと Telegram を利用していました。

1-7-2 Underground ランサムウェアグループの初期アクセス

Fortinet の情報によると、Underground ランサムウェアグループと同じグループの可能性がある「RomCom」ランサムウェアグループは、RomCom ランサムウェアグループはメールや初期アクセスブローカー (IAB) からアクセスを購入したりします。

また、Microsoft Office の脆弱性（CVE-2023-36884）を悪用するそうです。

こちらの脆弱性悪用に関しては、サイバートラスト：2023 年 7 〜 8 月の脅威動向と代表的な攻撃（後編）「2. Office のゼロデイ脆弱性を利用した攻撃」を参考にしてください。。

1-7-3 攻撃の手法（ランサムウェア）

Underground ランサムウェアは、他のランサムウェアと異なり

暗号化されたファイルの拡張子を変更させない
システムが使用できなくなるのを避けるために Windows に不可欠なファイルをスキップする

などが特徴で、感染に気付きにくかったりバックアップから戻すのが難しいという非常に巧妙な作りになっています。

ランサムウェアが実行されると、次のコマンドでシャドウコピーを削除します。

vssadmin.exe delete shadows /all /quiet

次のコマンドを使用して、リモートから操作するための RemoteDesktop/TerminalServer セッションのアクティブ時間を 14 日間に設定します。

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f

次のコマンドで MS SQL Server サービスを停止します。

net.exe stop MSSQLSERVER /f /m

「!!readme!!!.txt」という身代金要求メモを作成してドロップします。
暗号化したファイルの名前（拡張子）を変更しないようにしてファイルを暗号化していきます。

下記のファイル類は Windows の動作に必要と判断してスキップします。

.sys	.exe	.dll	.bat	.bin	.cmd
.com	.cpl	.gadget	.inf1	.ins	.inx
.isu	.job	.jse	.lnk	.msc	.msi
.mst	.paf	.pif	.ps1	.reg	.rgs
.scr	.sct	.shb	shs	.u3p	.vb
.vbe	.vbs	.vbscript	.ws	.wsh	.wsf

ランサムウェアファイルを削除します。
Windows イベントログを削除します。

1-7-4 MITRE ATT&CK TTP

Cyble: 「Underground Team Ransomware Demands Nearly $3 Million」を参考にしています。

Tactic	Technique ID	Technique 名
Execution( 実行 )	T1204	User Execution
Discovery( 発見 )	T1082 T1217 T1083	System Information Discovery Browser Information Discovery File and Directory Discovery
Defense Evasion( 防御回避 )	T1070	Delete shadow drive data
Impact( 影響 )	T1486 T1490	Data encrypted for impact Inhibit System Recovery