• 会員限定
  • 2023/08/08 掲載

TSMC関連企業がランサムウェアで7,000万ドル要求される──真の危険性を調べると?

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
2023年6月30日付で、CNNをはじめ各メディアが「台湾TSMC(台湾積体電路製造)の関連企業がランサムウェアの攻撃を受け、7,000万ドルの身代金を要求されている」と報じた。TSMCという世界的な半導体メーカー(ファウンドリ)の名前が挙がり、7,000万ドルという破格の身代金は過去にあまり例がないため比較的大きなニュースとなった。しかし、本当に重大なインシデントだったのだろうか? 事件を過小評価するのも危険だが、過大評価は攻撃者を利することにもなる。
photo
TSMCサプライヤーに対するランサムウェア攻撃を丁寧に読み解いてみる
(Photo:rafapress/Shutterstock.com)

ビッグネームに惑わされる報道に注意

 サイバーセキュリティ関連の報道は、攻撃グループ、マルウェア、ターゲットの固有名詞の大きさに惑わされ、全体を見誤ることがある。被害額が大きかったり、被害者が大企業や政府・公的機関だと、どうしても報道がセンセーショナルになりがちだ。

 2023年6月末に起きた「TSMCの関連企業がサイバー攻撃を受けて情報が漏えいした」というインシデントに対する各紙の報道も、CNNの記事を始め例外ではないようだ。

 被害企業のアナウンスや報道から情報を整理する前に、まずは基本的な情報を確認しておく。

 TSMCは世界最大規模の半導体ファウンドリである。局地的な仮想通貨マイニングブーム、コロナパンデミックによる半導体部品(特にプロセッサ)のひっ迫により、世界の注目を集めた企業だ。現在半導体製造は、クアルコムやNVIDIAのようなチップセットのデザインを専門に手がけるファブレスメーカー、インテルやAMDのように設計・製造を幅広く行うIDM、そしてそれらからウェーハ製造を請け負うファウンドリに分けることができる。TSMC、サムスンがファウンドリ業界の2強であり、TSMCは世界の半導体製造のおよそ半分を担っている。

OSINTによる情報の整理

 TSMC本体ではないとはいえ、その関連企業がサイバー攻撃を受けたとなれば穏やかではないが、7月頭の時点での状況を改めて整理してみよう。

  • TSMCの関連企業の1つが6月29日にランサムウェアに感染した
  • マルウェアはLockBitとされている
  • 攻撃者は、データ暴露によって脅迫をしている
  • 攻撃者が窃取したというサンプルデータにTSMCのメールアドレスが含まれている
  • 身代金は7,000万ドルと非常に高額
  • 攻撃を受けたのは台湾のKinMaxというIT企業
  • KinMax社は「被害は限定的とみられる。当局に通報し捜査が開始された。また関係各所に説明・謝罪を行った」と発表

 以上が、筆者が複数のメディアやOSINT(Open Source Intelligence:一般的に公開されている情報を分析して、独自の情報を読み取る手法)による情報収集から得られた情報だ。情報ソースは当事者のリリースや公式発表をベースとするのが基本だ。これに加え、国内外のニュースやSNSを含むコミュニティ情報も調べる。

どんな攻撃だったのか? 背景分析は5W1Hの情報収集から

 調べる内容は、月並みだが5W1Hで考えると整理しやすい。

  • いつ:6月30日にランサムウェア感染が確認された
  • どこで:KinMax社のシステム
  • だれが:LockBitランサムウェアを利用する犯罪者(?)
  • なにを:KinMax社サービスを利用しているユーザー企業のデータ
  • なぜ:身代金を得るため(詳細不明)
  • どうやって:スピアフィッシングによるLockBitマルウェアを感染させた

 攻撃に利用されたLockBitランサムウェアだが、大企業の攻撃や国家支援型と見られる攻撃に利用されることが多い。しかし、RaaS(Ransomeware as a Service)プラットフォームが存在し、原則として直接の攻撃者はアフィリエイターたちである。

画像
サイバー攻撃は「サービス化」が進み、いまやアフィリエイターだらけだ
(Photo/Shutterstock.com)

 大企業や政府などが被害にあっているため、LockBitの背後(開発者・RaaSプラットフォーム運営者)に国家機関や政府が絡んでいるという分析もあるが、詳細は不明である。

 攻撃の第1段階はスピアフィッシングなど標的を絞った形で行われる(バラマキ型のランサムウェアではない)。侵入後の攻撃は自動化されている。攻撃者が介在するのは被害者が感染(暗号化)告知ファイルを認識して、連絡先にコンタクトをしてからの身代金交渉以降となる。また、脅迫は暗号データの復号キーの身代金であることが多い。

 以上のような背景知識があると、今回の攻撃で注目すべきポイントが見えてくる。 【次ページ】被害状況と被害者の対応は?
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます