ハッカーが戦術を変えるとき、病院が停止する――最新の脅威が明らかにするサイバー犯罪の新しいプレイブック
製薬会社、病院サービスプロバイダー、そしてあなたのスマートドアベルに共通するものは何でしょうか。
それは、先月すべてがサイバー攻撃の標的となったということです。
これはColorTokens Threat Advisory Teamによる8月末の脅威総括であり、攻撃者がゼロデイやボットネットを使いながら、いかにしてルールを書き換えているのかを垣間見ることができます。
もしこれらが闇のフォーラムや技術的な議論に限られた話だと思っているなら、考え直したほうがよいでしょう。
これらの侵害は病院に波及し、新薬開発を遅らせ、さらには一般的なルーターを隠れた金儲けの仕組みに変えてしまいます。
ここでは特に注目すべき点と、その重要性がかつてないほど高まっている理由を紹介します。
クラウドネイティブ化するランサムウェア
ランサムウェアといえば、オンプレミスのサーバーをロックして、ビットコインを要求するメモを突きつけるものでした。
しかし、Storm-0501は従来型のやり方をまったく踏襲しませんでした。
この攻撃者たちは、従来のランサムウェアを捨て、より陰湿な「クラウドネイティブ恐喝」に移行したのです。
マルウェアは不要。必要なのはAzureのネイティブツール、盗まれた認証情報、そしてバックアップを気づかれる前に消去してしまうプレイブックだけです。
Storm-0501が行っているのは、古典的な暗号化ではなく、次のような手口です。
- クラウドアカウントの乗っ取り
- ストレージバケットからの直接的なデータ流出
- バックアップや復元ポイントの破壊
- そして…被害者自身のTeamsアカウントを使って身代金を要求
“Storm-0501は、ランサムウェアがクラウドへ移行し、新たな手口を学習していることを示しています。” — Microsoft Security
クラウドファーストのITに依存する企業にとって、これは「今起きている現実」です。
SaaSとリモートワークの時代において、セキュリティチームは侵害に備える方法を根本から見直すことを迫られています。
研究を停滞させかねない製薬企業への打撃
8月第1週、ランサムウェア攻撃者がInotivという創薬開発企業に侵入しました。
システムは暗号化され、ファイルはロックされ、研究は中断しました。
この攻撃を仕掛けたのはQilinで、176GB以上、162,000件を超えるファイルを盗んだと主張しています。
その一部はすでに流出しています。同社はすべてを公表してはいませんが、患者の安全性、治験、そして重要な研究スケジュールがワンクリックで崩壊しかねないことは明らかです。
Qilinは支払い交渉を待たず、公然と圧力をかける戦略を取り、Inotivを自らのリークサイトに掲載しました。
ライフサイエンスやヘルスケア企業にとって、この意味は非常に深刻です。
- 機微な知的財産や研究データが標的になる
- 業務の遅延は金銭的損失だけでなく人命に直結する
- 公開による法的・評判上のダメージが加わる
Inotivは外部セキュリティチームを招集し、オフラインでの代替作業や復旧を進めています。
しかしこの攻撃は、ランサムウェア集団が医療や製薬分野の重要なサプライチェーン拠点を標的とする増加傾向の一部にすぎません。
ルーターから収益源へ:IoTボットネットが形を変えて復活
自分のセキュリティカメラが、誰かを密かに裕福にしていると想像してみてください。
これが、今注目を集めている2つのボットネット――PolarEdgeとGayfemboy――のプレイブックです。
これらはステルス性が高く、しつこく残存し、帯域幅を搾取して不正収益を得るよう設計されています。その仕組みは次のとおりです。
- PolarEdge はルーター、IPカメラ、VoIP電話といったデバイスを乗っ取ります。
- TLSベースのバックドアをインストールし、それらを「Operational Relay Boxes」として悪意あるトラフィックの中継役に変えます。ISPに検知されることなく密かに動作します。
- Gayfemboy はMiraiの変種で、乗っ取りだけにとどまらず、暗号通貨マイナーをインストールし、永続性を維持し、必要に応じてDDoS攻撃を仕掛けます。
一部の感染は2023年半ばから続いており、いまだに駆除されていません。推定で40,000台以上のデバイスが侵害されていると考えられています。
では、何ができるでしょうか?
- ネットワークをセグメント化――IoTデバイスを重要資産から遠ざける
- デフォルトパスワードを即座に変更する
- 不要であればリモートアクセスを無効化する
- ファームウェアを更新し、サポートが終了したハードウェアを廃棄する
624,000人の患者が巻き込まれた医療情報漏えい――公表までに1年
Healthcare Services Group(HSGI)は、約1年前に発生した情報漏えいについて、ついに被害者に通知しました。
侵害から公表までに10か月が経過していたのです。この漏えいは624,000人以上に影響を与え、次の情報が流出しました。
- 氏名
- 社会保障番号
- 運転免許証および州のID番号
- 金融口座データ
なぜ公表が遅れたのでしょうか?
HSGIによれば、データレビューのプロセスに時間がかかったとのことです。
しかし患者にとって、この遅延はすでに身元盗用が始まっていた可能性がある長い空白期間を意味します。
さらに深刻なのは、この漏えいが米国全土の医療施設で使用されているシステムに影響を与えたことです。
デジタル障害は文字通り生死に関わる可能性があります。
唯一の救いは、HSGIがクレジットモニタリングを提供している点ですが、すでにデータは流出してしまっています。
Googleをも欺いた偽のITコールとその手口
次に取り上げるのは、急速に拡大しつつある恐ろしいボイスフィッシング手口です。
Google Threat Intelligence Groupは、Salesforce環境を狙った巧妙なキャンペーンを警告しました。その手口は以下のとおりです。
- 攻撃者はITサポートを装って電話をかける
- 被害者に偽のSalesforce Data Loaderアプリをインストールさせる
- そのアプリはCRMデータを密かに盗み、OktaやMicrosoft 365といった他のプラットフォームにも広がる
- 数か月後、別のグループが連絡を取り、データ漏えいを盾に身代金を要求する
Google自身も攻撃を受けましたが、早期に発見し、流出は基本的な業務データにとどまりました。
しかしGoogleですら被害に遭うのです。小売チェーンや大学にどれほどの防御力があるでしょうか。
Googleは25億人のGmailユーザーにパスワードリセットを呼びかけています。
一方で、恐喝者たちはShinyHuntersを名乗るか、あるいはその名を騙って要求をエスカレートさせています。
人間の「信頼」にはパッチを当てられない
攻撃者は待ちません。クラウドへ移行し、ルーターを乗っ取り、電話で従業員を欺き、組織的に攻撃を仕掛けています。
そして彼らは、ヘルスケア、金融、製薬、製造といったダウンタイムを許容できない業界を狙っているのです。
必要なのは、単にCVEを数件パッチすることではありません。侵害の「前・最中・後」に備えることです。
ColorTokens Xshieldがどのように支援できるか知りたい場合は、ぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
公開日:2025/9/3
著者:Tanuj Mitra
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
