富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査

日本の多国籍企業、富士フイルムがランサムウェアとみられる攻撃を受けた後、グローバルネットワークの一部停止を余儀なくされた。

デジタル画像プロダクトでよく知られているが、新型コロナウイルス検査迅速処理のためのデバイスなどハイテクな医療キットも製造している同社は、東京に置く本社がサイバー攻撃を受けたことを6月1日夜に確認した。

「現在、当社が利用しているサーバーに対する、外部からの不正なアクセスの疑いがあり、調査を進めております。調査のため、一部ネットワークを遮断し、外部との通信を停止しております」とウェブサイトに掲示した声明文で述べた。

「本件に関し、現時点で判明している事実と当社の対応をご報告いたします。2021年6月1日深夜に、ランサムウェアによる攻撃があった可能性を認識しました。その後、当社の海外法人と協力して影響可能性のあるすべてのシステムを遮断する措置を取りました」。

「現在、本件被害の内容や範囲等の特定を進めております。お客様、お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます」。

部分的なネットワーク遮断の結果、米国富士フイルムはウェブサイトに、現在電子メールや電話などを含むあらゆるコミュニケーション手段が影響を受けていると情報を追加した。先の発表では、サイバー攻撃によって注文を受けたり処理したりすることができなくなっていることも明らかにしていた。

富士フイルムはTechCrunchのコメントの求めにまだ応じていない。

富士フイルムは攻撃に使われたランサムウェアの身元など詳細については固く口を閉ざしているが、Bleeping Computerは富士フイルムのサーバーがQbotに攻撃されたと報じている。Advanced IntelのCEO、Vitali Kremez（ヴィタリ・クレメツ）氏はBleeping Computerに、富士フイルムのシステムは2021年5月、13年前から出回るようになったトロイの木馬によって攻撃されたと語った。この攻撃は通常フィッシングで始まる。

QakBotあるいはQuakBotとしても知られるQbotのクリエイターらは、ランサムウェアオペレーターと提携してきた長い歴史を持つ。以前はProLockとEgregorというランサムウェアギャングとも協業していたが、最近では悪名高いREvilグループとつながっていると言われている。

「初期のフォレンジック分析では、富士フイルムへのランサムウェア攻撃は先月Qbotのトロイの木馬感染で始まり、それを足掛かりにハッカーたちは2つめのランサムウェアペイロードを仕かけたと思われます」とProPrivacyのデジタルプライバシー専門家Ray Walsh（レイ・ウォルシュ）氏はTechCrunchに語った。「直近ではQbotのトロイの木馬はREvilハッキング集団によって活発に悪用されていて、ロシア拠点のハッカーたちが今回のサイバー攻撃の背後にいる可能性はかなり高いようです」。

Sodinokibiとしても知られるREvilは被害者のファイルを暗号化するだけでなく、被害者のネットワークからデータを抜き取る。ハッカーらは通常、身代金が支払わなければ被害者のファイルを公開すると脅す。しかしREvilが盗んだデータを公開するのに使用するダークウェブにあるサイトは、この記事執筆時点でオフラインだった。

ランサムウェア攻撃は新型コロナウイルスパンデミックが始まって以来、増加の一途を辿っていて、サイバー犯罪で最大の金を稼ぐ手法となった。脅威ハンティングとサイバーインテリジェンスのGroup-IBは、ランサムウェア攻撃の件数は2020年に150％超増え、要求する身代金は2倍超の17万ドル（約1875万円）に増えたと推定する。

富士フイルムがシステムへの攻撃に関与したハッカーたちに身代金を支払ったかどうか、現時点では不明だ。