インシデント対応事例

SIMカード内臓業務端末に対する不正アクセスおよびランサムウェア感染事例

対応事例

弊社インシデント対応サービスで調査した、SIMカード内臓端末に対する不正アクセスおよびランサムウェア感染事例をご紹介します。

インシデント経緯
  1. 社内ファイルサーバおよびActiveDirectoryサーバで暗号化されたファイルを発見
  2. 被害拡大を防ぐため、被害が確認されたサーバをネットワークから迅速に隔離
  3. EDRで調査し、潜在的に疑わしい端末を隔離
  4. フォレンジックで被害デバイスを調査し、根本原因を特定
被害内容
  1. 企業の基幹システムが使用不能に
  2. 顧客データの漏洩リスク
  3. 業務停止による経済的損失
  4. ランサムウェアの拡散による他システムへの影響

攻撃の流れ

  1. グローバルIPアドレスに対して攻撃者からの不正侵入
    • SIMカード内臓業務端末のSIMに設定されたグローバルIPアドレスに外部から不正アクセス(リモートデスクトップ接続)を許す
  2. 社内ネットワークへの侵入
    • ネットワークスキャンツールやアンチウイルス無効化ソフト等を使用し巧みに標的を探索、横展開を実施
  3. ActiveDirectoryへの侵入
    • ActiveDirectoryへドメイン権限を持ったユーザでリモートデスクトップ接続を許す
  4. ランサムウェアを展開
    • 基幹サーバへランサムウェアを配布、実行し重要データを暗号化。身代金を要求

テクマトリックスインシデント対応サービスで調査した、SIMカード内臓端末に対する不正アクセスおよびランサムウェア感染事例

不正中継アプリケーションによる犯罪加担

対応事例

弊社インシデント対応サービスで調査した、不正中継アプリケーションによって意図せず通信を中継し犯罪に加担してしまった事例をご紹介します。ユーザの意図しないところで犯罪指示のトラフィックを中継してしまった事例となります。

インシデント経緯
  1. 警察および銀行から、会社のグローバルIPアドレスから不正送金指示を行った形跡があると連絡が入った
  2. 社内トラフィックログを確認したところ、とある業務端末からインターネットバンキングへアクセス履歴を確認
  3. フォレンジックで業務端末を調査し、根本原因を特定
被害内容
  1. ユーザに悪意が無いにも関わらず、犯罪行為に加担してしまった

攻撃の流れ

  1. 不正中継アプリケーションをダウンロード、インストール
    • 不正中継アプリケーションはProxyGate、Taskbarsystem、maskvpnといったソフトが有名
    • 無料で使用できることを理由に、外部からの通信を中継し通信の出口ノード、つまり踏み台として利用されるプログラム
  2. 踏み台として不正送金指示を中継
    • 不正送金指示を中継してしまい、あたかもそのPCから不正送金が行われたかのように送信元IPアドレスを変換

テクマトリックスインシデント対応サービスで調査した、不正中継アプリケーションによって意図せず通信を中継し犯罪に加担してしまった事例

PICK UP

ニュース・キャンペーン

すべて見る

テクマトリックス インシデント対応サービスに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    TPS推進室
    インシデント対応サービス

    03-4530-9563

フォームから問い合わせる

メールでのお問い合わせ
response@soc.techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。

各種お問い合わせはこちらへ