セキュリティ更新プログラム適用前に、遠隔操作ウイルスに感染していた事案に関して

ラックは、救急対応サービスを提供する専門組織「サイバー救急センター」を運営しており、24時間態勢でサイバー攻撃被害への対応支援を行っています。 本情報は、セキュリティ修正プログラムの公開・適用前にサイバー攻撃を受けていたことが原因で、プログラムを適用した後も継続して遠隔操作ウイルスによる侵入を許した事案を踏まえて、組織内部の通信を棚卸し調査する必要性を注意喚起するものです。

2016年中にサイバー救急センターが調査依頼を受けた中で、遠隔操作ウイルスに侵入されてから数カ月、長いものでは2年を超える期間発見されなかった事案が確認されています。

このうちの何件かは、Sｋｙ株式会社が2016年12月21日に公開した「SKYSEA Client View」の脆弱性が悪用されたことが確認されています。被害に遭った組織は、「SKYSEA Client View」のセキュリティ修正プログラムが公開された後、これを即座に適用するなどセキュリティ対策は適切に行われていたにもかかわらず感染被害を受けていました。原因は、本脆弱性を悪用したサイバー攻撃が、セキュリティ修正プログラムの公開前に実行されていたことでした。これらの感染は、当該端末を外部に持ち出した際にグローバルIPでインターネットに接続したことで発生したと推測されます。つまり攻撃者は、当該ソフトを搭載し、インターネットに直接接続されている端末を探査し、侵入を図ったものと考えられます。このことから、当該ソフトを使用している組織で、外部に持ち出しグローバルIPでインターネット接続した端末が存在する場合は、セキュリティ修正プログラムを適用してセキュリティ対策を完了させていても、それ以前に侵入を許している危険性があることを考慮してください。

本事案より得られる課題として考えられることは、次の通りです。

得られる課題

1. セキュリティ修正プログラムが提供される前にサイバー攻撃が行われる、いわゆる「ゼロデイ攻撃」が行われる
2. セキュリティ修正プログラムが公開されてから適用するまでの期間に、サイバー攻撃が行われる

多くの組織は、脆弱性を悪用した攻撃が日常的に行われているとは思っていません。しかし実際には、攻撃者にとって脆弱性を悪用する攻撃は秘密裏に実行でき、かつ成功率の高い大変便利な方法です。そのため今後も同様の攻撃が継続すると考えられます。

セキュリティ更新プログラムを速やかに適用することは重要ですが、ゼロデイの脆弱性が公表された時には、適切な情報収集を行い、公表前に自組織が攻撃対象となっていた可能性があるかを判断してください。攻撃の対象となった可能性が高い場合は、内部のネットワークに遠隔操作ウイルスなどが侵入していないかをチェックする必要があります。

今回、チェックが必要だと思われる組織は以下の通りです。

チェックが必要だと思われる組織

1. SKYSEA Client View Ver.11.221.03 および それ以前のバージョンを使用していた
2. 会社端末を社外で4G回線等を通じ直接インターネット接続していた
3. 上記端末を内部のネットワークに直接　または　VPN等で接続して利用していた

今後も、脆弱性発見時に既に攻撃が発生している場合（ゼロデイ脆弱性）は、自社が対象となりうるかを判断して内部のネットワークに遠隔操作ウイルスなどが侵入していないかのチェックをしてください。

ラックでは、情報漏えいチェックサービスおよびプロキシログ解析サービスで対応可能です。

参考情報

• 【重要】グローバルIPアドレス環境で運用されている場合の注意喚起（CVE-2016-7836） - Ｓｋｙ株式会社
• SKYSEA Client View の脆弱性 (CVE-2016-7836) に関する注意喚起 - JPCERT/CC
• SKYSEA Client View において任意のコードが実行可能な脆弱性 - JVN