ランサムウェアAkiraがCiscoのVPN製品を悪用中 利用者は状況確認を

ランサムウェア「Akira」が初期攻撃ベクトルにCiscoのVPN製品を利用して企業のネットワークに侵入している疑いがある。

[後藤大地，有限会社オングス]

　コンピュータ情報サイトの「Bleeping Computer」は2023年8月22日（現地時間）、ランサムウェア「Akira」が初期攻撃ベクトルにCiscoのVPN製品を利用して企業のネットワークに侵入し、データを窃取し、最終的に暗号化を実行していると報じた。

　Akiraは2023年3月から観測されている新型のランサムウェアで、「Linux」や「VMware ESXi」なども標的にしているが、今回、全世界の企業で広く使われているCiscoのVPN製品もこれに加わったようだ。

AkiraはCiscoのVPN製品をターゲットにしている（出典：Bleeping ComputerのWebサイト）

AkiraがCiscoのVPN製品を攻撃　正規のRDPツールを悪用か

　Bleeping Computerによると、Akiraは追加のバックドアをドロップしたり、バックドアの情報を漏らす可能性のある永続化メカニズムを設定したりすることなく、多要素認証で保護されていない侵害されたCiscoのVPN製品アカウントを使用して企業ネットワークに侵入しているという。

　また同サイトは、セキュリティ企業SentinelOneのアナリストによる発言を取り上げ、Akiraがオープンソースソフトウェアのリモートアクセスツール「RustDesk」を使用して侵害したネットワークにアクセスしていることを指摘している。RustDeskは正当なツールであるためセキュリティソフトウェアに検知される可能性は低く、さらにこのツールには脅威アクターにとって都合がよい次のような特徴がある。

• 「Windows」「macOS」「Linux」といったクロスプラットフォームで動作しAkiraの標的とする全てのプラットフォームをカバーしている
• P2P（ピア・ツー・ピア）接続は暗号化されておりネットワークトラフィック監視ツールによってフラグが立てられる可能性が低くなる
• データ流出を容易にするファイル転送をサポートしAkiraツールキットを支援する

　脅威アクターは常にサイバー攻撃を改善し続けている。Akiraは活動が観測されてから戦術や技術、手順（TTPs）の改善を続けている活発なランサムウェアであり、今後もその動向に注意するとともに攻撃情報などが出た場合にはその都度確認するなどして対策をアップデートする必要がある。