アラカン"BOKU"のITな日常

文系システムエンジニアの”BOKU”が勉強したこと、経験したこと、日々思うことを書いてます。

サイバー犯罪の話題。弱いところを自分で探して侵入する標的型ランサムウェア。ある意味・・ホラーだな。

うーーん。 

日本は大丈夫なんだろか? 

そう思わせるに十分なニュースです。

 

アトランタ市のランサムウェア被害のことです

 

先月22日頃発生して、結構、日がたっているのに、まだ収束してないみたいなんですよね・・。

www.itmedia.co.jp

 

それにしても。 

基幹システムがランサムウェアにやられて、アトランタという大きな市の機能そのものが、これほど混乱するとは。 

他人事ではありません。 

犯罪者も様変わりしてきたなとつくづく思います。 

リアルの物や現金を盗むなんてのは、もはや時代遅れ。 

逮捕されて人生を棒にふるリスクは高いし、現金化にも手間がかかって、意外に儲からない。 

その点、ネットワーク越しに「情報」を誘拐して身代金をとる方が、楽に大金を掴むことができる可能性が高い。 

そのことに「ビジネスとして犯罪をする人々」はとっくに気づいてます。 

さらに、企業や官庁などをターゲットにした方が金になることにも。 

リアルな危険が迫ってます。 

例えば、自分が事故とかして緊急手術を受けている最中に病院のコンピュータが機能停止してしまう・・とか。 

人生の大勝負の場(仕事でも受験でも)に向かう途中で交通機関のコンピュータが機能停止して動かなくなるとか。 

レアかもしれないけど、可能性はゼロではない。 

それが天変地異でもなんでもなく、一部の犯罪者の意思で発生しうる。 

そういう時代なんですね。

 

メールの添付ファイルだけ気をつけてても意味がないんです

 

こういう話題になると、みんな大体同じような意見をいいます。 

誰か、意識の低い職員がメールの添付ファイルをうっかり開いちゃったんだろうな。 

でも、末端の社員ひとりひとりに浸透させるのは難しいよなあ・・。 

うんぬん。 

まあ、確かに一理ありますが、今回のアトランタ市を襲ったランサムウエアはそういう類のもんではないです。 

犯罪者側も進歩してるのですよ。 

今回、使われたのは「samsam」という標的型ランサムウエアみたいです。www.websecurity.symantec.com

 

引用します。

Samsam は、従来のランサムウェアとは異なり、ドライブバイダウンロードや電子メール経由では配信されません。代わりに、Samsam の背後にいる攻撃者は、 Jexboss などのツールを使用して、Red HatJBoss エンタープライズ製品を実行しているパッチ未適用のサーバを特定します。
攻撃者は JBoss脆弱性を悪用してこれらのサーバのいずれかへの侵入に成功すると、無料で手に入る他のツールやスクリプトを使用して、ネットワークに接続されているコンピュータから資格情報などの情報を収集します。次に、ランサムウェアを実行してこれらのシステム上のファイルを暗号化してから代金を要求します。

 

つまり、ネットワーク上の基幹ソフトの脆弱性が修正されていないところ(つまり、最新のセキュリティパッチをあててないところ)を探して、そこからネットワークに侵入して必要な情報を収集して、ランサムウェアを実行するというのです。 

怖いですね。 

メールの添付ファイルなんかに気をつけてても意味ないです。 

しかも、たまたま今回はJBossだったというだけで、何を踏み台にされるかはわかりません。 

犯罪者側も必死で穴を探しますから。 

結局、インターネットに繋がっているサーバーに脆弱性を残さないように踏み台にされる可能性のあるソフトウエアのバージョンをあげ、最新のセキュリティパッチをあて続ける以外に防ぐ方法はありません。

 

なんですけど・・・・

 

セキュリティリスクを軽減するために何をするべきか・・の意識は温度差があります。 

例えば。 

セキュリティ強化のためにシステムのバージョンを常に最新に維持する努力が必要ですよね・・とかの話になると、突然、むにゃむにゃとなるとか。 

そういう場合に話を聞くと、民間・官公庁どちらもですが、過去のセキュリティとかがそれほど重要視されてなかったころの業務アプリケーションが未だに動いているところが、まだあるらしいです。 

それらが特定のライブラリとかに依存していて、それへの影響を考慮すると、サーバーのミドルウエアのバージョンアップができないとか、下手にパッチをあてられないとか・・・。 

正直、ナンセンスだと思うんですけどね。 

優先順位が石器時代です。 

昔は「作業の手間軽減 > セキュリティリスク」でも通用したかもしれませんが、現在、セキュリティリスクを軽視すると、下手をすると組織そのものの存続すら危うくなる事態すら発生しうるということを忘れてます。 

仮に、そういう古いシステムを残さざるをえないならば、少なくとも外から見えない社内ネットワークに閉じ込めてしまうとか。 

会社のセキュリティレベルをさげざるをえない要因になるシステムは、なるべく早く改修するか、いっそ捨てて新しいものに作り直すとか。 

それをどうやってやるか?を考えないといけないです。 

できない言い訳ではなく・・ですね。 

先送りにして自分のところは大丈夫だろう・・なんて思いこみは通用しません。 

明日、目がさめたらパソコンの画面がこんなふうになってるかもしれないのですから。

f:id:arakan_no_boku:20180407003735j:plain

 

安全はただで手に入るものじゃない。

 

便利さとリスクは比例するんです。 

安全はタダで何もしないで手にはいるものでもないんです。 

でも・・。

 それを理解してもらうのがとても難しいおじさん・おばさん達が、まだまだ権力を握ってます。 

実際、そういう方とお話することもありますが、こちらの話を聞く気もなく、ひたすら持論を聞かされるだけになることもあります。 

 その自分で理解できる範囲で世界ができあがっていて、とりあえず、自分のところは大丈夫だという根拠のない自信。 

どうしたら、そうなれるのか・・理解できません。 

とりあえず。 

めげずに頑張れ!システム管理者。 

そうエールを送るくらいしかできないのが歯がゆいですね。