ネバダ州は、8月にハッカーが同州のシステムに侵入してランサムウェアを展開した経緯と、攻撃から回復するために取った措置について詳述した事後報告書を公表した。
この文書は、サイバーセキュリティ・インシデントに関する米国の州からの数少ない完全に透明な技術報告書の1つであり、攻撃者のすべてのステップを記述し、サイバーセキュリティ・インシデントにどのように対処すべきかの模範を示している。
この事件は60以上の州政府機関に影響を与え、ウェブサイトや電話システムからオンライン・プラットフォームに至るまで、必要不可欠なサービスを中断させた。28日後、州は身代金を支払うことなく、影響を受けたサービスの復旧に必要な、影響を受けたデータの90%を回復した。
ネバダ州は本日発表した報告書の中で、最初の侵害が発生した経緯、ネットワーク上での脅威行為者の活動、および悪意のある活動を検知した後に取った措置について、完全な透明性をもって詳しく説明しています。
ランサムウェア攻撃の展開
侵入が発見されたのは8月24日であったが、ハッカーは5月14日に州職員がトロイの木馬化されたバージョンのシステム管理ツールを使用した際に最初のアクセスを得ていた。
報告書によると、州職員がシステム管理ツールをダウンロードしようとGoogleで検索したところ、代わりに正規のプロジェクトになりすました詐欺サイトに誘導する悪質な広告が表示された。
この偽サイトは、マルウェアが混入されたバージョンの管理ユーティリティを提供し、職員のデバイスにバックドアを展開した。
WinSCP、Putty、RVTools、KeePass、LogMeIn、AnyDeskなど、一般的なシステム管理ツールに偽装したマルウェアをプッシュするために、検索広告を利用する脅威者が増えています。しかし、目的のプログラムの代わりにマルウェアがインストールされるため、脅威者は企業ネットワークに最初にアクセスできるようになります。
これらのツールはシステム管理者向けに設計されているため、脅威者はこれらのIT従業員を標的にすることで、ネットワーク上の上位アクセス権を得ようと考えている。
このマルウェアが実行されると、ユーザーのログイン時に自動的に攻撃者のインフラストラクチャに接続する隠しバックドアが設定され、国の内部ネットワークへの持続的なリモートアクセスが可能になります。
6月26日、Symantec Endpoint Protection(SEP)は悪意のあるツールを特定して隔離し、感染したワークステーションから削除しましたが、永続化メカニズムが抵抗し、ハッカーは依然として環境に到達することができました。
8月5日、攻撃者は市販のリモート・モニタリング・ソフトウェアをシステムにインストールし、画面録画とキーストローク・ロギングの実行を可能にした。このツールによる2度目の感染は、その10日後に発生した。
8月14日から16日にかけて、攻撃者は暗号化されたカスタム・ネットワーク・トンネル・ツールを導入し、セキュリティ制御を迂回し、複数のシステム間でリモート・デスクトップ・プロトコル(RDP)セッションを確立した。
この種のリモート・アクセスにより、パスワード保管庫サーバーを含む重要なサーバー間を横方向に移動することができ、そこから26のアカウントの認証情報を取得した後、自分たちの行動を隠すためにイベント・ログを消去しました。
Mandiantのインシデント対応チームは、攻撃者が複数のシステムにわたる26,408個のファイルにアクセスし、機密情報を含む6つの部分からなる.ZIPアーカイブを作成したことを確認しました。
調査では、攻撃者がデータを流出させたり公開したりした証拠は見つかりませんでした。
8月24日、攻撃者はバックアップサーバを認証し、すべてのバックアップボリュームを削除してリカバリの可能性を無効にした後、仮想化管理サーバにrootとしてログインしてセキュリティ設定を変更し、署名されていないコードの実行を許可しました。
08時30分18秒(UTC)に、攻撃者は州の仮想マシン(VM)をホストするすべてのサーバにランサムウェアを展開しました。
ガバナーズ・テクノロジー・オフィス(GTO)が障害を検知したのはその約20分後(午前1時50分)で、28日間にわたる州全体の復旧作業が始まった。
身代金ではなく時間外労働の支払い
ネバダ州は、身代金の支払いに断固とした態度を維持し、影響を受けたシステムとサービスを復旧させるために、独自のITスタッフと残業代に頼りました。
コスト分析によると、50人の州職員が合計4,212時間の時間外労働を行い、259,000ドルの賃金コストを州に負担させた。
この対応により、タイムリーな給与処理、公共安全通信のオンライン維持、市民向けシステムの迅速な再確立が可能になり、標準的な(時給175ドルの)請負料金と比較すると、州は推定47万8000ドルを節約できた。
インシデント対応期間中の外部ベンダーのサポート費用は130万ドル強にのぼり、その内訳は下表のとおりである。
| ベンダー | 提供サービス | 負担コスト |
|---|---|---|
| マイクロソフト DART | 統合サポートおよびインフラ再構築 | $354,481 |
| マンディアント | フォレンジックとインシデントレスポンス | $248,750 |
| エアリス | 復旧およびエンジニアリング・サポート | $240,000 |
| ベーカー・ホステトラー | 法律およびプライバシー・カウンセル | $95,000 |
| SHI(パロアルト) | ネットワーク・セキュリティ・サービス | $69,400 |
| デル | データ復旧とプロジェクト管理 | $66,500 |
| その他IRベンダー | 各種サポートサービス | ~$240,069 |
なお、このランサムウェアの実行者は特定されていない。また、恐喝サイトへの侵入を主張する大手ギャングは見られなかった。
この事件は、ネバダ州のサイバー耐性を示すものであり、断固とした迅速な “プレイブック “行動からなるものである。
復旧費用と労力にもかかわらず、ネバダ州は信頼できるベンダーの助言を得て、サイバーセキュリティの防御も改善した。
「GTOは、まず最も機密性の高いシステムの安全確保に重点を置き、アクセスを必要不可欠な人員に限定するようにした」と報告書は指摘している。
技術的・戦略的措置としては、古いアカウントや不要なアカウントの削除、パスワードのリセット、古くなったセキュリティ証明書の削除などがあった。さらに、許可されたユーザーだけが機密設定にアクセスできるように、システムのルールとアクセス権が見直された。
しかし、同州は改善の余地がたくさんあることを認めており、脅威の主体も戦術、技術、手順を進化させているため、特に監視と対応能力を向上させるためにサイバーセキュリティに投資することの重要性を認識している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
秘密 セキュリティ・チートシート:スプロールからコントロールへ
古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。
チートシートを入手して、秘密管理の手間を省きましょう。
Comments