ニコニコとKADOKAWAグループのサイバー攻撃。
— ストラーフ (@GertrudeStrarf) June 14, 2024
リモートでシャットダウンしたサーバーを攻撃者が遠隔で起動掛けようとするなんて、机上では知ってたけど現実に目の当たりにすると信じがたい。
サーバーから物理的に電源コードとネットワークケーブルを引き抜くなんて、業務継続計画の中でも最悪の部類。
ニコニコ動画の公式報告についてはこちら
https://you1news.com/archives/113720.html
調査のためにオフィスを封鎖したって事は、それこそスパイ映画みたいに内部に情報漏洩させていた人間がいた想定までしてるね。
— ストラーフ (@GertrudeStrarf) June 14, 2024
そりゃランサムウェアを感染させるだけでは無く、リモートでサーバー起動まで仕掛けたんだから何らか管理者権限を奪取したんだろう。
(言うまでもなくやってるんだろうけど)警察・自衛隊・公安調査庁・経済産業省辺りのサイバー対策の有識者も動いてるだろうね。
— ストラーフ (@GertrudeStrarf) June 14, 2024
言い方悪いけどサイバー攻撃の一例としては日本のIT史のマイルストーンになる事件になるだろう。
やっぱりアナログが最強なんだね
— kaeru/『 サガHS230』 (@kaerunoaccount) June 14, 2024
分野によっては代えがたい物はありますな
— ストラーフ (@GertrudeStrarf) June 14, 2024
これが本当だとすると、かなりの所まで侵入されて、権限を持ったユーザーが自由に操っていたのだとすると、もう物理ケーブルを抜くしかなかったのですね。
— 人生相談屋 (@jinseisoudanya) June 14, 2024
本当にそういう事態になったんですよね…
— ストラーフ (@GertrudeStrarf) June 14, 2024
物理的にサーバーの電源ケーブル抜く、ネットワークケーブルを抜く、そうじゃないと対処できないレベルのシステム障害は想定される中で最悪中の最悪レベルですから。
Wake On LAN(WoL)を悪用された感じなんですね
— 【AI×ICT】テックトークナビゲーター (@TechTalkNAVI) June 14, 2024
メンテとかを考えると必要ですが、侵入されてしまうと相手の手札となっちゃうのを考えるとオフにするしか無いのか・・・
最早攻撃受けた実例を見せつけられると幾らでも想定が出来てしまいますね。。。
— ストラーフ (@GertrudeStrarf) June 14, 2024
えぇ…
— やまちゃん (@yamamotorjcj) June 14, 2024
最近のPCには”マジックパケット”を使った遠隔操作機能があるのは知っているが、それってBIOSの設定でONにしていない限り機能しない筈。
リモートで保守する都合でそれをONにしていたのかも知れないが、それだってルータのFWの設定があるだろうに…
二重三重のブロックを突破したって…🥶🥶
ランサムウェアという裏技で自己増殖させながら手当たり次第にバックドアを仕掛けまくったとか?
— ストラーフ (@GertrudeStrarf) June 14, 2024
最早何でもありの次元になってるので、しっかりした追加情報が公開されない限り静観しているのが良いかと。
サーバーの物理切断ってことは、ルータ類を切ってインターネット、イントラネットから切断しただけでは済まないってことですよね。イメージがわかない状況です。
— にゃん (@4k0d6v0IFvRkZKE) June 14, 2024
コンテナ技術を使ってるならKubernatesあたりがやられたのかなー…🤔💭VMかなー…🤔💭
個人的にはVMかなぁと思いますが、自分も見聞きしてないテクノロジーを使ってる気はするんで深入りしないでいます😅
— ストラーフ (@GertrudeStrarf) June 14, 2024
物理的にパァン!って何台も電源を落とすのは結構衝撃的な場面だったろうなぁ…
— 麦 (@zth300) June 14, 2024
個人的にはnmapとか仕掛けてiDRACやIMMとかのコンソール自体も何かしらの方法で突破してシャットダウンを検知したら強制的に再起動かけたのかなと
— バーフォード (@vfr_ssq) June 14, 2024
ポート番号変えてなければipに:443でアクセスできてしまうので
私はマザーボード(UEFI)の管理者パスワードを遠隔で消されたことがあります。どうやってるかは分かりませんが…。
— ゆう@集ストは憲法違反(大阪市) (@osaka_shusuto) June 14, 2024
あと、条件が揃えば、電源コードとネットワークケーブルも、遠隔で【物理的に】抜けます。超音波などを組み合わせ、かなり高度に物を動かしたり、ひねったりできます。
>サーバーを攻撃者が遠隔で起動
— rabitgti (@rabitgti) June 14, 2024
仮にVMwareなど仮想化環境上のVMシャットダウンなら、VMware制御さえ得れば簡単。
仮に物理電源OFFしても、IMMなど遠隔自動ON機能を構成してれば、その制御奪えば可能。
非常時に一番確実なのは物理切断ですね。 pic.twitter.com/JdXqvhR4Mo
私が担当なら過呼吸で倒れるかも😱
— ふじた_🐱♨️💻雑用係 (@nfujita55a) June 14, 2024
・相当数の仮想マシンが暗号化され、利用不能になりました
・遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、第三者がさらに遠隔からサーバーを起動させて感染拡大を図るといった行動が観測されました。 https://t.co/b4cZgPciD0
やあ、セキュリティ勝手に解説するおばさんの登場だ。
— 羽山 (@rh_ak) June 14, 2024
ランサムウェアっていうのは、ファイルを勝手に暗号化したりロックかけたりして使用不能にさせた上で「元に戻してほしけりゃ身代金をよこせ」とメッセージを表示するマルウェアだよ。だから使えないサーバーを捨てて新規に作り直してるんだね。 https://t.co/r2vFkqHb4w
情報漏洩の可能性は?あるかもしれない。調査中とのことなので今後のKADOKAWAからの続報を待とう。
— 羽山 (@rh_ak) June 14, 2024
今私たちができることは?KADOKAWAにエールを送ること。けど、KADOKAWAのサービスとのパスワードの使いまわしをしている場合は変更をおすすめする。できることはやっておこうね。
ニコニコへのサイバー攻撃すご…
— フリさん (@FreedomHK) June 14, 2024
“遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、第三者がさらに遠隔からサーバーを起動させて感染拡大を図るといった行動が観測されました。そのため、サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖しました。”
なんでLANケーブルを引っこ抜くだけじゃなくて、電源ケーブルも引っこ抜くかというと、
— ところてん (@tokoroten) June 14, 2024
マルウェアを制御するためのコントロールサーバとの通信が一定期間できなくなったら、自身とその痕跡を消去する、みたいなコードになっていることがあって、LANを抜いただけだと証拠隠滅される可能性がある
基本はメモリフォレンジックのために、電源は入れたままのほうが良いです
— ところてん (@tokoroten) June 14, 2024
メモリ上に残っている攻撃の痕跡を残す必要があります
ただ、電源を入れたままだと証拠隠滅するやつもいるので、電源を切ったほうがいいケースもある、という話です
CISSP的には「オンメモリの痕跡が消えるから、電源は落としてはならない」のが定石とされているはずなんですが
— ぶーちゃん (@tkrkdi_sec) June 14, 2024
実際どっちのほうがいいんですかね…
おそらくは感染したサーバが複数あると思われるので、電源を落としてディスク上に痕跡を残した奴と、電源を入れたまま維持したやつとの両方を確保してるんじゃないかなと思います
— ところてん (@tokoroten) June 14, 2024
それで残した証拠をどうやって突き止めるんでしょうか。
— ただの高血圧 (@QFEr2iibZJtUD4x) June 14, 2024
電源再投入無しに?
ディスクのコピーを取って、そのディスクを別ハードからマウントする
— ところてん (@tokoroten) June 14, 2024
DOSの時代、ウィルスがdebugやsymdebの起動を監視していて、「何かおかしいな」と思って、調べようとすると痕跡を消してしまうという経験をしたことがあります。今の時代はハートビートで監視したりするんですね。
— Hiroshi Matsumura (@hmatsumu) June 14, 2024
