学生がインストールした海賊版ソフトからランサムウェア被害
ヨーロッパのとある生体分子研究所がランサムウェア「Ryuk」の被害にあい、1週間分の研究データを失うと同時に、丸1週間ネットワークが不通になったとのこと。
きっかけは研究にアシスタントとして参加していた大学生が、自宅のPCにも研究所のPCと同じ数万円のソフトウェアが欲しいと、ネットで海賊版を探してインストールしたところ、仕込まれていたマルウェアに感染。
大学生が感染に気づかないまま、マルウェアはWindowsのクリップボード履歴から研究所へリモートデスクトップ接続するユーザ名とパスワードを盗んだ。
そのユーザ名とパスワードがブラックマーケットで売り出され、それをランサムウェアのオペレータである犯罪者集団が購入、大学生のPC経由で研究所のネットワークを感染させたのではないかとのこと。
これらはインシデントに対応したセキュリティベンダーSophosの調査で判明したらしい。
Bleeping Computerの別記事によれば、認証情報のブラックマーケットでは、ユーザ名とパスワードが1組3ドル程度の安値で販売されており、「Ultimate Anonymity Service (UAS)」と呼ばれるサイトでは過去3年間で130万組が販売されたとのこと。
教訓としては、海賊版を買おうとするのはやめましょうというのは当然として、リモートデスクトップを二要素認証なしでインターネットにさらすのはやめましょう。ワンタイムパスワードなり、接続元グローバルIPアドレスの制限なりをちゃんとしましょうということ。
まあでも二要素認証のないウェブサイトで機密情報をやり取りしようとされる企業はまだまだありますよね。