CLOPランサムウェアとは?
2020年12月15日、国内の大手流通企業で顧客情報が暗号化されるハッキング事件が発生しました。
拡散を防ぐために社内ネットワークが遮断され、一時的に営業活動が中断されました。
ハッカー組織はデータ復旧の条件として高額な金銭を要求し脅迫しました。
これにより、企業の営業活動とブランドイメージに甚大な被害が予想されています。
CLOPランサムウェアとは?
CLOPランサムウェアは、企業が使用する中央管理サーバー(ADサーバー)の管理者アカウントを奪取し攻撃を行います。
オペレーティングシステム(OS)情報、権限、ユーザー名、コンピューター名などの基本情報を取得した後、
企業内部システムのデータを暗号化し、復号化を引き換えに高額な金銭を要求するハッキング手法です。
CLOPランサムウェアは、実行ファイル(.exe)、Word(.doc)、Excel(.xls)ファイルをメールに添付して配布され、
最近では悪意のあるスクリプト(HTML)を添付する方式に進化しています。
通常のランサムウェアとは異なり、「Ammyyハッキングツール」を利用してアクセスしたサーバーの情報を把握し、アカウント権限を奪取します。
さらに、社員の個人情報やPC情報を含むADサーバーをハッキングし、
取得した権限とアカウントを使用してWindows Defenderや様々なウイルス対策プログラムを無効化し、
企業のセキュリティ体制を無力化します。
CLOPランサムウェアの予防策
一度CLOPランサムウェアの標的となった企業は、類似のランサムウェア攻撃を継続して受ける可能性が高いです。
以下は、CLOPランサムウェアを防ぐための基本的な対策です。
- ADサーバーアカウントのセキュリティ管理を強化
- AD管理者および管理者グループアカウントのパスワードを定期的に変更
- AD管理者アカウントと一般業務用ADアカウントを分離
- AD管理者アカウントはDC(ドメインコントローラー)以外のシステムで使用禁止
- ADサーバーにPLURAをインストールしてアカウント奪取をリアルタイムで監視
CLOPランサムウェア被害の重要性
企業のハッキング被害は単なる金銭的損失にとどまりません。
一度失われた企業の信頼を回復するには長い時間と莫大な努力が必要です。
信頼される企業となるためには、信頼できるセキュリティソリューションが不可欠です。