医療機関を狙う脅威:Daixinランサムウェアとは

医療機関を狙う脅威:Daixinランサムウェアとは

セキュリティを高めたい

『DAIXIN』って、どんな情報セキュリティの用語なんですか?

情報セキュリティ専門家

『DAIXIN』は、情報セキュリティの用語というよりは、サイバー犯罪組織の名前です。彼らは、コンピューターに侵入してファイルを勝手に暗号化し、その解除と引き換えにお金を要求する『ランサムウェア攻撃』を使うことで知られています。

セキュリティを高めたい

じゃあ、DAIXINはどんな組織に攻撃するんですか?

情報セキュリティ専門家

DAIXINは、特にアメリカの病院や医療機関を狙って攻撃することが多いようです。彼らは病院のシステムに侵入して、患者の治療情報などを盗み出してしまいます。そして、お金を払わなければ、その情報を公開すると脅迫するのです。

DAIXINとは。

「DAIXIN」は、コンピュータのセキュリティを脅かす悪質な集団の名前です。彼らは、特にアメリカの病院や医療機関を狙って、2022年から活動を続けています。

DAIXINの手口は、まず、人のパソコンやサーバーに忍び込み、大切なファイルを勝手に暗号化してしまいます。暗号化されると、ファイルを開いたり使ったりすることができなくなります。そして、ファイルを取り戻したければお金を払うように要求してきます。

彼らは、偽のメールを使って人の情報を盗んだり、インターネットの入り口であるVPNの弱点をついたりして、目的のネットワークに侵入します。そして、様々なツールを使ってネットワーク内を動き回り、情報を盗んだり、システムを壊したりします。

DAIXINは、特に「VMWare ESXiサーバ」という種類のサーバーを好みます。これは、病院や企業でよく使われているサーバーです。また、彼らの使う技術やプログラムの一部は、「Babukランサムウェア」という別の悪質な集団と共通していることが分かっています。

アメリカのFBIや国の安全保障機関などは、DAIXINの危険性を認識し、2022年10月に注意を呼びかける発表を行いました。

Daixinランサムウェアの概要

Daixinランサムウェアの概要

– Daixinランサムウェアの概要Daixinは、2022年から活動を始めた比較的歴史の浅いサイバー犯罪組織です。彼らは、特に米国の医療機関や公的機関を狙って、身代金を要求するサイバー攻撃を仕掛けています。Daixinの攻撃は、まず標的とする組織のシステムに侵入することから始まります。そして、組織内に保管されている患者情報や企業秘密といった重要な情報を盗み出すのです。次に、Daixinは盗み出した情報を人質にし、その対価として身代金を要求します。Daixinの恐ろしい点は、情報を盗み出した後、標的のシステム内のファイルを暗号化してしまうところにあります。暗号化されたファイルは利用できなくなるため、組織の業務に大きな支障が生じます。その後、Daixinは自分たちが運営するウェブサイト上に盗み出した情報を公開すると脅迫し、身代金の支払いを要求します。情報を公開された場合、組織は評判を失墜させ、多額の賠償金を請求される可能性があります。このように、Daixinは情報を盗み出して暗号化するという二重の手口で標的を脅迫します。近年、このような二重脅迫の手口を用いるランサムウェア攻撃が増加しており、世界中の組織にとって大きな脅威となっています。

ランサムウェア 活動開始時期 標的 攻撃手順 特徴
Daixin 2022年~ 米国の医療機関、公的機関 1. 標的のシステムに侵入
2. 患者情報や企業秘密を盗み出す
3. 盗み出した情報を人質に身代金を要求
4. 標的のシステム内のファイルを暗号化
5. 自分たちが運営するウェブサイト上に盗み出した情報を公開すると脅迫
情報を盗み出した後、ファイルを暗号化する二重脅迫の手口を用いる。

Daixinの侵入経路

Daixinの侵入経路

– Daixinの侵入経路Daixinは、標的とする組織のネットワークに侵入するために、実に様々な巧妙な手段を駆使します。中でも特に注意すべきなのが、正規ユーザーになりすましてネットワークに侵入するという手口です。Daixinの攻撃者はまず、標的となる組織の従業員に狙いを定めます。そして、巧妙に偽装したフィッシングメールを送信したり、SNSなどを悪用したソーシャルエンジニアリング攻撃を仕掛けることで、従業員のアカウント情報やパスワードといった重要な認証情報を盗み出そうとします。いったん認証情報を手に入れると、Daixinはそれを利用して、組織のセキュリティの弱点であるVPNサーバーへのアクセスを試みます。VPNサーバーは、外部から組織内のネットワークに安全に接続するための重要な役割を担っていますが、設定が甘いと、Daixinのような悪意のある第三者に侵入を許してしまう危険性があります。Daixinは、脆弱性のあるVPNサーバーを足がかりにして、組織のネットワーク内部に侵入し、機密情報の盗難やシステムの破壊といった深刻な被害をもたらします。そのため、組織はDaixinの脅威から身を守るために、VPNサーバーのセキュリティ強化に最優先で取り組む必要があります。具体的には、強力なパスワードを設定すること、多要素認証を導入すること、最新のセキュリティパッチを適用することなどが有効な対策となります。

侵入経路 手法 対策
正規ユーザーになりすまし – フィッシングメールによる認証情報の詐取
– ソーシャルエンジニアリング攻撃による認証情報の詐取
– セキュリティ意識の向上
– 不審なメールやSNSの投稿への注意喚起
VPNサーバーへの侵入 – 脆弱性のあるVPNサーバーを悪用 – 強力なパスワード設定
– 多要素認証の導入
– 最新セキュリティパッチの適用

ネットワーク内部における拡散

ネットワーク内部における拡散

– ネットワーク内部における拡散

悪意のあるプログラムDaixinは、標的のネットワークに侵入した後、SSHやRDPといった、誰もが使うような遠隔操作ツールを使って、ネットワーク内部にさらに広がろうとします。これは、ネットワークに接続された他のコンピュータにアクセスし、より重要な情報を探したり、攻撃による被害を拡大したりするためです。

特に、DaixinはVMware vCenter Serverという、仮想環境を一元管理するサーバーへの侵入を試みる傾向があることが分かっています。VMware vCenter Serverは、多くの企業で仮想環境を管理するために利用されており、重要な役割を担っています。もし、攻撃者によってVMware vCenter Serverが乗っ取られてしまうと、仮想マシン全体を制御されてしまう可能性があります。

仮想マシンは、実際のコンピュータと同じように動作するソフトウェアによって作られたコンピュータであり、多くの企業で資源の効率的な利用や管理の容易化のために利用されています。攻撃者は、VMware vCenter Serverを乗っ取ることで、これらの仮想マシンに保存されているデータの盗難や改ざん、さらには、仮想マシンを踏み台にしたさらなる攻撃などを行うことが可能になります。このように、Daixinによるネットワーク内部への拡散は、企業にとって大きな脅威となる可能性があります。

悪意のあるプログラム 侵入経路 目的 標的 脅威
Daixin SSH, RDP ネットワーク内部への拡散
重要な情報の探索
攻撃による被害の拡大
VMware vCenter Server
仮想マシン
仮想マシン全体の制御
データの盗難、改ざん
さらなる攻撃の踏み台

Babukランサムウェアとの関連性

Babukランサムウェアとの関連性

– Babukランサムウェアとの関連性Daixinは、仮想化ソフトとして広く利用されているVMware ESXiサーバーを狙った攻撃を行う点で、過去に猛威を振るったBabukランサムウェアとの共通点が見られます。セキュリティ専門家による調査の結果、Daixinのランサムウェアを構成するプログラムコードの一部に、Babukランサムウェアで使われていたものと同一のものが見つかりました。 このことから、Daixinの開発集団がBabukランサムウェアの開発者と何らかの関係を持っている、あるいは少なくともBabukランサムウェアのプログラムコードを入手して、Daixinの開発に利用したという可能性が考えられます。DaixinとBabukの攻撃対象や手口が似ている点も、両者の関連性を裏付ける一つの要因と言えるでしょう。

ランサムウェア 関連性 根拠
Daixin Babukとの関連性が疑われる – Daixinのプログラムコードの一部に、Babukで使われていたものと同一のものが見つかった。
– 攻撃対象や手口が似ている。

Daixinのデータ抽出ツール

Daixinのデータ抽出ツール

– Daixinのデータ抽出ツールDaixinは、標的のシステムから機密情報を効率的に盗み出すために、Rcloneやngrokといった誰もが無料で利用できるツールを悪用しています。Rcloneは、本来はDropboxやGoogle Driveといった様々なクラウドストレージサービスとの間でファイルを同期するために使われるコマンドラインプログラムです。Daixinはこの機能を悪用し、盗み出したデータを外部のサーバーに転送するために利用しています。一方、ngrokは、外部からローカルサーバーへの安全な接続経路を確立するリバースプロキシツールです。通常は開発者が自分のパソコンで開発中のウェブサイトを一時的に公開する際に利用されます。しかし、Daixinはこのngrokを悪用することで、セキュリティ対策をかいくぐり、外部からネットワーク内部のシステムにアクセスしています。これらのツールは本来、正当な目的のために開発されたものですが、Daixinはこれらのツールの機能を悪用することで、機密情報の抜き取りを容易かつ隠密裏に行っている点が特徴です。

ツール 本来の用途 Daixinによる悪用方法
Rclone Dropbox、Google Drive等のクラウドストレージサービスとのファイル同期 盗み出したデータを外部サーバーに転送
ngrok 外部からローカルサーバーへの安全な接続経路を確立するリバースプロキシツール セキュリティ対策をかいくぐり、外部からネットワーク内部のシステムにアクセス

セキュリティ機関からの注意喚起

セキュリティ機関からの注意喚起

近年、サイバー攻撃の脅威はますます深刻化しており、企業や組織は高度化する攻撃から重要な情報を守るため、常にセキュリティ対策を強化していく必要があります。特に、身代金要求型ウイルス(ランサムウェア)による攻撃は、その巧妙さと被害の大きさから、世界中で深刻な問題となっています。

2022年10月、アメリカの連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、そして福祉保健省は、共同で「Daixin」と呼ばれるランサムウェアに関する注意喚起を発出しました。Daixinは、その高度な攻撃手法と標的の広さから、世界中のセキュリティ機関から警戒されています。

この注意喚起では、Daixinによる具体的な攻撃の手口や、標的となりやすい組織、そして攻撃から身を守るための対策などが詳しく解説されています。例えば、Daixinは、組織のシステムに侵入するために、従来のセキュリティ対策では検知しにくい脆弱性を突いてきたり、盗み出した従業員のアカウント情報を悪用したりすることが知られています。

Daixinのような高度なサイバー犯罪組織に対抗するためには、政府機関やセキュリティ企業などが発信する最新の脅威情報を常に収集し、自組織のセキュリティ対策に反映させることが重要です。具体的には、ファイアウォールやウイルス対策ソフトなどのセキュリティ対策ソフトを最新の状態に保つことはもちろん、従業員に対しては、不審なメールを開封しない、怪しいウェブサイトにアクセスしないなど、基本的なセキュリティ対策を徹底するように教育する必要があります。

脅威 特徴 対策
サイバー攻撃の深刻化
(特にランサムウェア)
巧妙化、被害の大きさ セキュリティ対策の強化
ランサムウェア「Daixin」 – 高度な攻撃手法
– 標的の広さ
– 検知しにくい脆弱性の利用
– 盗み出したアカウント情報の悪用
– 最新の脅威情報の収集
– セキュリティ対策ソフトの最新化
– 従業員へのセキュリティ教育