急なリモートワーク対応を迫られ、セキュリティについては完璧とはいえない組織もあるだろう。こうした非常時は、悪意ある攻撃者に便乗の機会を与える。

フィッシング詐欺やZoomの脆弱性を狙った攻撃可能性などが報告されるなか、MicrosoftはVPNアプライアンス（専用ハードウェア）なんかの脆弱性が狙われていることを指摘する。

同社はこの時期、最も機能停止がこわい病院に向けて、ランサムウェア攻撃のリスクを通知したようだ。

・VPNアプライアンスとゲートウェイの脆弱性を悪用

今回Microsoftによって問題視されているのは、ヒトが操作するタイプのランサムウェア。自動拡散タイプのWannaCryなどとは違い、攻撃者が巧妙にポートスキャンや認証情報の取得を行い、脆弱性を見出してシステムに侵入する。

Microsoftが追跡する「REvil」と呼ばれるランサムウェアは、VPNアプライアンスとゲートウェイの脆弱性を悪用して足場を築くものだ。システムの侵入に成功すると、攻撃者はアカウントの権限を昇格させる。検出されない限りシステムに居座り、よくあるネットワークセキュリティの設定ミスをついて攻撃の手を広げるとのこと。

また攻撃者は、VPNクライアントのアップデートを利用してマルウェアを仕込む手口もある。

最終的にはファイルを暗号化し、身代金を要求するわけだが、その前に個人情報が盗まれるリスクもあるだろう。

・インフラに脆弱なVPNアプライアンスを抱える病院を特定して通知

Microsoftは、脅威インテリジェンスの情報ネットワークを通じて、インフラ上に脆弱なVPNアプライアンスやゲートウェイが存在する数十の病院を特定。脆弱性に関する情報や攻撃の可能性を知らせ、それを阻止するセキュリティ更新プログラムの適用を強く推奨したようだ。

REvilを利用した最近のVPN攻撃には旧知の手法が用いられているため、パッチの適用やファイアウォールの更新が第一だという。

また、セキュリティソフトやイベントログを頻繁にチェックし、異常が見つかればすぐに対処することが重要だ。セキュリティ侵害が発生していた場合は、使用されているすべてのアカウントでパスワードをリセット。情報漏洩がないかも確認する。

Microsoftのブログでは、そのほか具体的な対応策も説明してくれているので一読しておいて損はないだろう。

参照元：Microsoft works with healthcare organizations to protect from popular ransomware during COVID-19 crisis: Here’s what to do/ Microsoft