中小ベンチャー企業部と警察庁、韓国インターネット振興院(KISA)は、韓国の中小企業を狙った新種のランサムウェア「ミッドナイト(Midnight)」と「エンドポイント(Endpoint)」攻撃が確認されたと16日に明らかにした。
今回の攻撃は、情報技術(IT)の構築・保守企業を先に侵害し、その後に顧客企業へ拡散する手口が特徴である。被害企業の多くは中小の製造業と把握されているが、流通・エネルギー・公共機関など他分野でも被害事例が確認された。
警察庁とKISAの分析によれば、攻撃者は見積もり依頼や入社志願、コンサルティング要請などに偽装した悪性メールをIT保守企業に送付して内部システムに侵入した。添付ファイルを実行するとリモート制御のマルウェアがインストールされ、内部情報とアカウント情報が外部へ流出する手口である。
その後、攻撃者は窃取した情報を活用して当該企業を装ったメールを顧客企業に再送し、これにより顧客企業の内部システムへのアクセス権限を確保したうえでランサムウェアを拡散したことが判明した。
今回のランサムウェアはファイル暗号化にとどまらず、内部データを事前に窃取したうえで公開を脅迫する「二重窃取型」の攻撃手法が適用されたことが確認された。
警察庁とKISAは、攻撃手法と対応策を盛り込んだセキュリティ勧告文を関係機関と企業などに配布した。捜査過程で確保した脅威情報を基に、警察庁が関係部処と協力して公式のセキュリティ勧告を発行したのは今回が初めてである。
警察庁は現在、関連攻撃を捜査中であり、追加の脅威情報を関係機関と企業に共有する計画だ。
※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。