1 :ののの ★:2017/06/26(月) 21:02:41.01 ID:CAP_USER9.net
http://itpro.nikkeibp.co.jp/atcl/column/14/549762/062200152/?itp_side_ranking

ランサムウエア身代金に1億3000万円払った韓国IT企業、データは戻ったか

趙 章恩=ITジャーナリスト 2017/06/26 ITpro

 ランサムウエア被害が発生した韓国のWebホスティング会社「NAYANA」がデータを復元できるコードをもらうため、ハッカーに13億ウォン(約1億3000万円)のビットコインを支払った。この事件は「サイバー強盗にやられた」として、韓国だけでなく欧米のメディアでも大きく取り上げられている。

 事件は6月10日午前1時に発生した。NAYANAのLinuxサーバー153台(バックアップサーバー含む)が午前1時に一斉にErebusランサムウエアに感染。NAYANA社を利用している約3400社のホームページ上のデータが人質になった。

 NAYANAは自社でデータの復元を試みたが失敗。政府機関の韓国インターネット振興院や警察庁サイバー捜査隊などに相談する一方、ハッカーと交渉を始めた。警察は「ハッカーにお金を払ってもデータを復元できる可能性は低い」として、交渉に応じてはならないとしたが、NAYANAは「自社だけの問題ならハッカーと交渉しない。しかし人質になっているのは顧客のデータなので、何をしてでも復元しなくてはならない。非難されても仕方ない」と交渉に応じた。警察庁サイバー捜査隊がハッカーを追っているが、警察抜きでハッカーと交渉したため、捜査が難航した。


NAYANAのホームページには謝罪文が掲載されている
(出所:NAYANA)

http://itpro.nikkeibp.co.jp/atcl/column/14/549762/062200152/?P=2

 ハッカーとの交渉は、接続経路を匿名化できるTor browser経由で行われた。最初、ハッカーは50億ウォンを要求したが、3回に及ぶ交渉の末、13億ウォン相当のビットコインになった。NAYANAは6月14日から21日まで数回に分けて13億ウォン分のビットコインをハッカーに送り、データを復元できる暗号をもらって作業している。6月22日時点で復元できたデータは10%程度、7月末まで90%の復元を目標にしている。

(中略)

趙 章恩(チョウ チャンウン) 韓国ソウル生まれ。ITジャーナリスト。東京大学社会情報学修士、東京大学大学院学際情報学府博士課程。韓国・アジアのIT事情を、日本と比較しながら分かりやすく解説する活動をしている。「日経ビジネス」、「日経Robotics」「ダイヤモンドオンライン」、「ニューズウィーク日本版」、「週刊エコノミスト」、「日本デジタルコンテンツ白書」などに寄稿。

3 :ののの ★:2017/06/26(月) 21:03:15.71 ID:CAP_USER9.net
(中略部分)

 NAYANAがハッカーに身代金を払ったことについてネットでは批判的な書き込みが多い。だが、韓国ホスティングドメイン協会は「(身代金を払うという)NAYANAの決定を尊重する」として、身代金の一部を会員企業が募金、データ復元のための装備や人員を派遣して助けている。

 NAYANAのランサムウエア被害は、APT攻撃(Advanced Persistent Threat:持続的標的型攻撃)とLinuxランサムウエアの組み合わせによるものだった。ハッカーはNAYANAのサーバー管理者が使うパスワードを入手して153台のLinuxサーバーに個別アクセスし、ランサムウエアを仕込んだ。管理者の誰かを執拗に狙ってハッキングでパスワードを入手。管理者がいない深夜午前1時を狙い、2分ほどで全サーバーを一斉に感染させたのだ。NAYANAがランサムウエアに気付いたのは午前1時5分ごろだったが、バックアップサーバーが先に感染したため手を打てなかった。

 NAYANAはセキュリティ対策を疎かにしていたわけではないと釈明した。スタンバイサーバー、CDPのバックアップ、バックアップストレージもあった。それでもランサムウエアは防げなかったことについて、韓国内では「NAYANAの社員が犯人か共犯説」まで登場した。ハッカー側が「NAYANAの年間人件費に当たる13億ウォン以下はだめだ」と金額を指定したというNAYANAの説明も、社員共犯説を広めるきっかけになった。

 他のWebホスティング会社はNAYANAの事件を教訓に、「データバックアップはインターネットと完全に分離した領域で二重三重に行う」「サーバーと会社のPCのパスワードはその都度変更するワンタイムパスワードを使用する」「会社用のPCに社員が個人的な目的で使うプログラムをダウンロードできないようにOSをLinuxに変える」「ホスティング会社に全て任せっきりにせず、ユーザーも自分でバックアップしておく」といったことを行うと発表した。データバックアップサーバーはインターネットと分離して管理すべきなのだが、Webホスティング会社は社員5人以下の零細企業が多く、費用を節約するためネットワーク分離を守らないところもあるという。だから狙われるのかもしれない。

 韓国の企業がハッカーに身代金を払った、というニュースはハッカー業界に知れ渡ったようで、6月22日には別の事件が発生した。韓国の金融機関にはハッカーグループから脅迫メールが届いたのだ。ハッカーグループArmada Collectiveを名乗る者から、韓国の銀行7社と証券会社2社、韓国証券取引所宛てに、6月26日まで指定した額分のビットコインを払わないとDDos攻撃を仕掛けるという内容のメールが届いた。既にDDos攻撃は始まっていて、ビットコインを払わないともっとひどい攻撃を行うという脅迫だった。韓国の金融機関のサイバーセキュリティレベルは高く、今のところ問題はないようだ。しかし、安心していられない。「サイバー強盗」との本当の闘いはこれからが始まりなのかもしれない。
5 :名無しさん@1周年:2017/06/26(月) 21:04:58.67 ID:srk+bX/K0.net
犯罪者の標的にぴったり

6 :名無しさん@1周年:2017/06/26(月) 21:05:37.59 ID:Y7s/8EX30.net
韓国人が他国やってるようなことをそのまま喰らっただけの話だよね


7 :名無しさん@1周年:2017/06/26(月) 21:06:44.81 ID:u9UnkV2K0.net
韓国の特技でローンで支払いだろ


8 :名無しさん@1周年:2017/06/26(月) 21:06:52.28 ID:xC2onN/10.net
Linuxも対象になるのか


11 :名無しさん@1周年:2017/06/26(月) 21:09:33.71 ID:ziSwEDUL0.net
バックアップはなかったのか


15 :名無しさん@1周年:2017/06/26(月) 21:11:56.25 ID:bWVExXKS0.net
>>11
バックアップのWindowsも一気にやられたらしいね。

バックアップのサーバーも同じパスワードだったらしいw


12 :名無しさん@1周年:2017/06/26(月) 21:09:43.23 ID:qRcvYIJD0.net
これで完全復旧しなかったらどこも交渉に応じなくなるな


18 :名無しさん@1周年:2017/06/26(月) 21:13:26.34 ID:3GI0KW140.net
バックアップサーバがやられるというのが意味不明。
単なるコピーなのか?


19 :名無しさん@1周年:2017/06/26(月) 21:13:40.13 ID:TUFgznvl0.net
身代金がビットコインかwwwwww
やっぱ韓国は最先端なんだな。


23 :名無しさん@1周年:2017/06/26(月) 21:15:52.66 ID:9BXMiEqs0.net
>>1
ていうか冗長化してないからこうなったんだよな?
自動バックアップする俺頭いいって思ってたクチ?
それじゃ駄目だから独立したストレージを構築するてのは
10年くらい前に結論が出てただろ?
にわかが素人運営した結果だろ。


26 :名無しさん@1周年:2017/06/26(月) 21:18:57.58 ID:c8ECtDK00.net
身代金の受け渡しの電話は話を引き伸ばして
警察の逆探知の時間を稼ぐのがセオリー。


31 :名無しさん@1周年:2017/06/26(月) 21:25:19.56 ID:v0RcP6qX0.net
南が北に献上したんだろ?報酬はデータ?


32 :名無しさん@1周年:2017/06/26(月) 21:25:24.20 ID:xuPzrbWt0.net
しかし、金払ったら
とりあえず10%復元できたんだな

100%復元できるのかな?


33 :名無しさん@1周年:2017/06/26(月) 21:26:42.59 ID:eAtC9Xf30.net
復元できなかったら今後、誰も身代金払わんだろ


34 :名無しさん@1周年:2017/06/26(月) 21:29:49.02 ID:OfpAild30.net
どうやったら全サーバーのパスワード漏らせるんだろう


35 :名無しさん@1周年:2017/06/26(月) 21:31:36.24 ID:9X4E057u0.net
あれ、うちの会社より人件費たけぇなここ
開発から運用まで手がけているけど、年収400万円に届かないサーバエンジニア1人で150台くらいのサーバ開発管理やってるわ
1.3億円の人件費俺にくれよ


36 :名無しさん@1周年:2017/06/26(月) 21:33:10.47 ID:1I3z5Cn50.net
韓国はソマリア海賊にもたんまり身代金払ったんだっけね。
太っ腹だよね。


38 :名無しさん@1周年:2017/06/26(月) 21:35:18.05 ID:qz8BqzsU0.net
そんなに大事なデータわ扱っていて、パッチもロクに当ててなかったのか?


42 :名無しさん@1周年:2017/06/26(月) 21:42:24.59 ID:TpBLF4GNO.net
1億を払える会社がバックアップすらとってないとか普通ありえない


47 :名無しさん@1周年:2017/06/26(月) 22:02:03.28 ID:PFyfp0pj0.net
顧客なんていないのにね


50 :名無しさん@1周年:2017/06/26(月) 22:06:53.10 ID:8ERYWKsk0.net
>ハッカーはNAYANAのサーバー管理者が使うパスワードを入手して153台のLinuxサーバーに個別アクセスし、ランサムウエアを仕込んだ

Linuxサーバーとか言う問題じゃないな。パスワード管理がどれだけ重要かってこと。
pass123とかじゃないだろうな

ブログ更新の励みになりますので、一日1クリックお願いします!<(_ _)>
はてなブックマークに追加するツイッターでつぶやく過去記事一覧を見る

21位以下のランキングはこちら