Sophosは8月22日(英国時間)、「Qilin ransomware caught stealing credentials stored in Google Chrome – Sophos News」において、ランサムウェア「Qilin」による侵害を調査する中で、Google Chromeに保存された認証情報を大量に窃取する攻撃を確認したと伝えた。2024年7月に確認されたこの事案では、Active Directoryのドメインコントローラからグループポリシーオブジェクト(GPO: Group Policy Object)を使用して悪意のあるスクリプトをドメイン参加端末すべてに配布して実行したとされる。
侵害経路
初期アクセス経路は脆弱なVPNサーバとみられている。多要素認証(MFA: Multi-Factor Authentication)を設定していないVPNサーバから侵入した攻撃者は、侵害された資格情報を悪用してドメインコントローラに侵入。デフォルトのドメインポリシーを編集して悪意のあるスクリプトを配布した。
配布されたスクリプトは「IPScanner.ps1」と「logon.bat」の2つとされる。IPScanner.ps1はPowerShellスクリプトで、Chromeに保存された認証情報を収集する機能を持つ。logon.batはユーザーが端末にログオンするたびに実行されるバッチスクリプトで、IPScanner.ps1を実行する。
端末にユーザーがログオンするとこれらスクリプトが実行され、Chromeの認証情報が収集される。Sophosの調査によると、このスクリプトは3日間以上有効だったという。
攻撃者は収集した認証情報を窃取すると、関連ファイルをすべて削除し、ドメインコントローラとドメイン参加端末の両方のイベントログを削除。その後、ランサムウェアを展開してファイルを暗号化し、身代金を要求している。
影響と対策
この攻撃は侵害されたドメイン参加端末にログオンしたすべての従業員に影響を及ぼす。従業員がChromeに認証情報を保存していた場合は、すべての認証情報を更新する必要がある。
パスワードマネージャー「NordPass」の調査によると、従業員一人当たりの平均業務関連パスワード数は87個、個人用パスワードは168個とされる(参考:「How many passwords does the average person have? | NordPass」)。そのため、同様の被害に遭うと従業員は侵害されたActive Directoryのパスワードに加え、数百のパスワードをすべて更新せざるを得ないことになる。
このような被害を回避するため、SophosはWebブラウザに搭載されたパスワードマネージャーの使用を中止し、信頼できるサードパーティー製パスワードマネージャーの使用を推奨している。また今回、脆弱なVPNサーバが侵害されており、企業のサーバ管理者には多要素認証の導入が推奨されている。