2021年末に明らかになったJavaのログ出力ライブラリー「Apache Log4j」の脆弱性が、ランサムウエア(身代金要求型ウイルス)攻撃に悪用され出した。米Microsoft(マイクロソフト)は2022年1月10日、Log4jの脆弱性を悪用する新手のランサムウエア「Night Sky」が広まっていると明らかにした。
同社によれば、中国に拠点を置くサイバー犯罪者集団(マイクロソフトは「DEV-0401」と呼称)がNight Skyを使って、米VMware(ヴイエムウェア)の仮想デスクトップ構築用ソフト「VMware Horizon」を標的とする攻撃を2022年1月4日にも開始したという。VMware HorizonはLog4jのコンポーネントを含んでいる。不正侵入された企業はNight Skyを社内に展開されるという。
Night Skyは既に「戦果」を上げているもようだ。同犯罪者集団は情報システムの設計・構築や電気工事を手掛ける東京コンピュータサービス(東京・文京)を2021年12月に攻撃し、ファイルサーバーに保管されていた130ギガバイトのデータなどを盗んだと主張。「第1弾」として、数ギガバイトのデータを闇サイトに暴露した。サイバーセキュリティーの専門家によると、IT大手や自動車大手、金融機関などとの取引情報が含まれるという。
一方、東京コンピュータサービスは2022年1月4日、「ランサムウエアに2021年12月31日未明に感染しました」(同社資料)と公表。「お客様取引情報等のデータを攻撃者に窃取された可能性があり、情報流出の恐れがある重大事案」(同)として、被害の確認など対応に追われる。Night Skyを使った犯罪者集団の上記「主張」は把握済みという。
サイバー対策サービスを手掛けるS&Jの三輪信雄社長は「Night Skyに限らず、様々なランサムウエア犯罪集団がLog4jの脆弱性をサイバー攻撃に利用している」と話す。これに対し、脆弱性への企業側の対処には温度差がある。「金融機関や大手製造業の多くは点検を実施したが、中小企業の感度は高いとは言いがたい」(三輪社長)。Log4jの脆弱性の影響範囲が多岐にわたることも相まって、今後も被害が続く恐れがある。
2020年以降、ランサムウエア攻撃は手口が変わってきている。企業に侵入してすぐにデータを暗号化するのではなく、データを盗んだうえで暗号化する。暗号化したデータを復号するための身代金を支払うよう脅迫するとともに、盗んだデータを闇サイトに暴露されたくなければ金を払えとも脅す。脅迫が多重化しているわけだ。
被害企業は自社システムが停止するだけでなく、個人情報や取引情報など機密性の高いデータが流出する痛手も負う。「サプライチェーン(供給網)のリスクと捉え、大企業が取引先の中小企業にランサムウエア対策を指導することも検討すべきだ」とS&Jの三輪社長は指摘する。
