セキュリティが脆弱なVPNサーバーを狙う「Daixin Team」の攻撃が活発化--FBIが警告

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2022-10-25 13:00

 米連邦捜査局(FBI)と米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米保健福祉省(HHS)は米国時間10月21日、「Daixin Team」によるヘルスケア事業者に対するランサムウェアやデータ窃取/恐喝といった攻撃が増加しているとして警告を発した。


 これらの機関が共同で発表した今回のアドバイザリーは、2022年6月以降に発生している、ヘルスケアおよび公衆衛生(HPH)セクターに対するDaixin Teamのアクティビティーに関するものだ

 Daixin Teamはランサムウェアを用い、電子健康記録(EHR)や診断、画像、イントラネット関連のサービスを担うサーバーを暗号化している。また、個人を特定できる情報(PII)や、患者の医療情報も窃取している。

 Daixin Teamはこれまでに、被害者のVPNサーバーに存在するパッチ未適用の脆弱性を悪用するなどして、標的のネットワークへ侵入しているため、今回のアドバイザリーではヘルスケア事業者らに対してVPNサーバーをセキュアにするよう促している。また、確認されている攻撃の中には、多要素認証(MFA)が有効化されていないレガシーVPNサーバーに対して、過去に窃取した認証情報を用いて侵入していたケースもあるという。攻撃者らはこうしたVPNの認証情報を、悪意あるファイルを添付したフィッシングメールによって取得したと考えられている。

 そして、攻撃者らはVPNにアクセスした後、SSHやRDPといったリモートプロトコルを使用してシステム間を水平移動し、認証情報ダンピング(Credential Dumping)と「Pass the Hash」(PtH)(窃取したパスワードハッシュを用いてシステム間の水平移動を実行する手法)によって特権アカウントを探し出す。

 同アドバイザリーによると、攻撃者らは特権アカウントを使用して「VMware vCenter Server」にアクセスし、侵入した環境内の「VMware ESXi」サーバー群のアカウントパスワードをリセットする。その後、SSHを用いてアクセス可能なESXiサーバー群に接続し、それらのサーバー上にランサムウェアを展開するという。

 Daixin Teamは被害者のシステムからデータも窃取しているという。

 同アドバイザリーは、勧告している複数の緩和策のうち、VPNサーバーと、リモートアクセス用のソフトウェア、仮想マシン(VM)ソフトウェア、CISAが悪用を把握している既知の脆弱性については優先的にパッチを適用する必要があると記している。また、RDPへのアクセスを制限し、監視下に置くとともに、SSHとTelnet、Winbox、WANに開放されているHTTPについては無効化する、あるいは有効化する際には強力なパスワードと暗号化によってセキュアにしておくよう推奨している。さらに、組織は可能な限り多くのサービスでMFAを採用するべきだとも記している。

 FBIの米国インターネット犯罪苦情センター(IC3)のデータによると、16の重要インフラセクターのうち、HPHセクターからのランサムウェア被害報告は25%に上っているという。

 また、IC3の「Internet Crime Report 2021」(インターネット犯罪レポート2021年版)によると、ランサムウェアに関する649件の被害報告のうち、148件がHPHセクターからのものだったという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]