ランサムウェア グループ AkiraがIPカメラ(Webカメラ)を介してサイバー攻撃と不正アクセス

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア グループ AkiraがIPカメラを介してサイバー攻撃と不正アクセス

海外のセキュリティコンサルティング会社のS-RMがAkiraがセキュリティ対策の施されていないIPカメラ(Webカメラ)を悪用し、EDR(Endpoint Detection and Response)を回避してランサムウェアを展開したサイバー攻撃と不正アクセスの手法について一部解説しています

攻撃の概要

S-RMのチームが対応したAkiraランサムウェアによるインシデントでは、被害組織がネットワーク上のホストにEDREndpoint Detection and Response)を導入していました。EDRツールはランサムウェアのバイナリを検出して隔離し、Akiraによる悪意のあるコードの展開を阻止しました。

しかし、攻撃者はそれで諦めることなくネットワークスキャンを実行し、同じネットワーク上にセキュリティ対策が施されていないWebカメラが存在することを突き止めました。Akiraはこのデバイスを侵害し、そこからランサムウェアを展開することで、最終的にEDRの防御を回避することに成功しています。

セキュリティ対策が施されていないWebカメラを悪用しサイバー攻撃

攻撃の流れ

通常の手口

Webカメラの侵害が行われるまでは、本インシデントAkiraがこれまでに行ってきた典型的な手口に沿って進行していました。

攻撃者はまず、外部公開されたリモートアクセス手段を通じて被害者のネットワークに侵入。その後、AnyDesk.exe(リモート管理および監視ツール)を展開してネットワークへのアクセスを維持し、データの窃取を実行しました。

攻撃の後半では、攻撃者はRDP(リモートデスクトッププロトコル)を使って、被害組織内のサーバーにアクセスしました。AkiraRDPを頻繁に使用しており、これはシステム管理者が正規に使う手段であるため、不正アクセスを目立たなくするのに適しています。

このとき、攻撃者はランサムウェアを含むパスワード保護付きZIPファイル(win.zip)を使って、Windowsサーバー上でのランサムウェア(win.exe)展開を試みました。しかし、被害組織のEDRツールが即座にこのZIPファイルを検出し、解凍・実行される前に隔離しました。

この時点で、攻撃者はEDRツールに感知されたことを認識し、そのままでは防御を突破できないと判断したと考えられます。

そこで攻撃者は戦術を切り替えました。

Windowsサーバーへのランサムウェア展開を試みる前に、攻撃者は内部ネットワークのスキャンを行い、開放ポートや稼働中のサービス、接続されているデバイスを特定していました。

このスキャンにより、被害者ネットワーク上に複数のIoT(モノのインターネット)デバイスが存在することが判明しました。中にはWebカメラや指紋認証スキャナーなどが含まれており、これらのデバイスがEDRの検知を回避しつつ、ランサムウェアを展開するための格好の足がかりとなりました。

Webカメラへのピボット(攻撃の切り替え)

攻撃者がWebカメラをランサムウェア展開のターゲットとして選定した背景には、以下の3つの理由が考えられます。

  1. 複数の重大な脆弱性が存在していたこと。たとえば、リモートシェル機能や、認証なしにカメラ映像をリモートで閲覧できる問題などがありました。
  2. 軽量なLinuxベースのOSが稼働しており、一般的なLinuxデバイスと同様にコマンド実行が可能だったこと。これは、AkiraのLinux版ランサムウェアを展開するには理想的な条件です。
  3. EDRツールが一切導入されておらず、保護されていない状態だったこと。加えて、ストレージ容量が限られているため、そもそもEDRを導入するのは困難だったと考えられます。

攻撃者はWebカメラが適切なターゲットであると判断すると、すぐさまLinuxベースのランサムウェアの展開を開始しました。

このデバイスは監視対象外だったため、被害組織のセキュリティチームは、Webカメラから感染サーバへの悪意あるSMB(Server Message Block)通信の増加に気付くことができませんでした。本来であれば、この通信が異常として検知されていた可能性があります。

その結果、Akiraは被害者のネットワーク全体でファイルの暗号化に成功しました。

教訓とセキュリティ対策

S-RMのチームは、今回の事例を通じて以下の3つの重要な教訓を強調しています。

1. IoT機器も含めたパッチ管理と資産可視化

多くの企業では、サーバや業務端末を中心にパッチ適用やセキュリティ対策が行われていますが、攻撃者の視点では**“守りが甘いところから攻める”**のが基本です。監視対象外のIoT機器も含めて、全社的な資産の棚卸とセキュリティ強化が不可欠です。

2. 攻撃者の進化に追いつく視点

Akiraは元々Rustで開発されていましたが、現在ではC++への移行が進んでおり、Windows/Linuxの両方に対応可能な柔軟性を備えたランサムウェアになっています。攻撃手法は常に進化しているため、既存の防御策で満足せず、継続的な脅威分析と対策の更新が求められます

3. EDRは万能ではない

EDRは確かに重要な防御手段ですが、導入されているだけでは不十分です。カバレッジの偏り、監視体制の不在、誤検知対応の遅れなど、運用面の弱点を突かれるケースも多く、EDRの導入=安全とは言えないという現実を踏まえ、運用体制の見直しが必要です。

推奨される具体的対策

  • IoT機器のネットワーク分離:社内ネットワークや業務サーバから物理的・論理的に隔離

  • ネットワークトラフィックの監視強化:IoT機器からの異常な通信(特にSMB)を検知できる仕組みの導入

  • 内部ネットワークの定期スキャン:資産管理ツールやNACなどを活用し、常時接続機器の可視化を徹底

  • パッチ・初期パスワードの管理:IoTデバイスも対象とし、設定初期化やパスワード変更を徹底

  • 利用していないIoT機器は電源を切る:不必要な常時稼働を避けることで、攻撃リスクを低減

一部参照

https://usa.kaspersky.com/blog/ransomware-via-ip-camera-prevention-and-lessons/30696/