【注意喚起】外部公開サービスを悪用したランサムウェア攻撃に関する注意喚起

外部公開サービスを悪用したランサムウェア攻撃に関する緊急の注意喚起です。

本件の情報は「全員」が対象になっています。

今回指摘されたランサムウェアは高度な検知回避機能を備えており、一部のセキュリティベンダの
アンチウイルス製品では検知されないとの情報もあることから、アンチウイルス製品を導入している
環境でも過信せず、標的となり得るシステムの設定不備や脆弱性への対応状況を確認してください。

＜確認されている侵入経路＞
・リモートデスクトップサービス(RDP、OpenVNC 等)の設定不備又は脆弱性の悪用
・MSP(Managed Service Provider)が提供するリモート管理ツールの悪用
・Oracle Weblogic Server の脆弱性CVE-2019-2725 の悪用
・文書ファイルに偽装した実行形式ファイルを添付した標的型メール

＜注意が必要な機器＞
・セキュリティパッチの提供が終了した古いOS を搭載したシステム
・システム管理者が存在を把握していなかった端末・インターネット接続
・汎用OS が搭載された組込み機器（PC 同様にパッチ適用が必要であることの認識

-----------------------------------------------------------
●概要
　【緊急連絡】外部公開サービスを悪用したランサムウェア攻撃に関する注意喚起

　内閣サイバーセキュリティセンターより、外部公開サービスを用いたランサムウェア攻撃を
　複数の重要インフラ事業者で観測したとの情報提供がありました。
　台湾、韓国、香港、ドイツ、日本等を主な標的として、ランサムウェアを用いたサイバー攻撃が
　活発化しているとの情報が確認されているとのことです。
　本ランサムウェアは、管理が不十分のため外部公開となっているシステムや、未対処の脆弱性が
　放置されていたシステムを介して標的組織のネットワークに侵入するものと推測しています。

●脅威
　ランサムウェア「Sodinokibi(別名Sodin、REvil)」によるサイバー攻撃の被害が国内の複数の
　重要インフラ分野で発生しているとの情報を報告されています。
　NISCによると、当該ランサムウェアは、外部に公開されたサービスの設定の不備や未対処の
　脆弱性の悪用、及び標的型メール等により、ネットワークに侵入するよう
　です。特に、システムの管理者が存在や対策の必要性を認識していないシステムから侵入された
　可能性が高いと考えています。

●対処方針
　＜確認されている侵入経路＞に該当するシステムが自組織にないか確認することを推奨いたします。
　NISCから、次のような対策の案が提示されております。必要に応じてご検討ください。

　・不要な外部公開サービスがある場合は停止する
　（リモートデスクトップサービスは標的となりやすいため特に注意）
　・外部に公開する必要があるサービスは、
　　- 既知の脆弱性への対処状況を確認し、未適用のセキュリティパッチがある場合は適用する
　　- サービスの認証が適切に設定されているか確認する
　・ネットワークのセグメント分割や、権限を適切に管理する
　・ログを適切に収集・管理する
　・ネットワークに接続されている資産の管理を確実にする
　・普段ネットワークに接続されていない機器をネットワークに接続する際の対策や
　　セキュリティパッチの適用を確実にする
　・セキュリティパッチが適用できない機器については、適切な代替手段や交換措置を検討する
　・保守回線を使用しない時は、切断することを検討する

以上、よろしくお願い申し上げます。