ランサムウェアとのことで、それもかなり大規模😱なもののようですね。次々と執拗に攻撃が続いて、緊急停止したマシンを強制的に起動するとか、すごいことまでされている。
(まだ、事実関係が明らかになっていないので、ここからは僕個人の考察で、だいぶ想像が入ってます🧐)
これって、複数サービスやサーバが同時にやられているので、外部からでは無くて、前々から侵入されていて、内部からの同時攻撃のように見えますね。(プライベートのクラウドが乗っ取られているみたいなので、仮想マシンのコンパネとかも勝手に操作されてるんでしょうね?)
きっかけは、侵入のように見えますが、
そして、同時にランサムウェアを遠隔で起動されたり、遠隔操作されたりしているように見えますね。
ここまで大規模になると、組織的な複数人が同時にやったのかなぁ?。
侵入のきっかけは、どれかのサーバの脆弱性を突いて侵入したのか、標的型メールからの侵入のどちらか?のように思える。後者の可能性が高いと思うんだけど、
で、C2サーバ経由でVPN通信ルートを作成し、複数人が操作できるようにセッションを時間をかけてたくさん作って、ある号令かなんかで同時に複数人が実行したのか?それとも複数の内部サーバやPCにbotをたくさん配置して同時に実行した?勝手なサーバの起動停止の操作を考えたらbotっぽくは無いけど?
あとは、システム構成だけど?
外(業務ネット利用インターネット接続)←内(社内ネット)←→内(メンテセグメント)→外(サービス用インターネット接続)が分離されて無くて、繋がった構成だったのかなぁ?(社内とメンテ環境が繋がっていたら、便利だもんね。ここでのメンテセグメントとはプライベートクラウドも含めたものとして考えました。)
想像が膨らんでしまう🤔本当のところを知りたいですね。
最終的に復旧したら、今回のシステム構成なども含めて、総括して状況を公表いただけたら、すごく勉強になるだろうなぁ。
でも今は、復旧中なので、作業を実施している方々のご健闘を祈ります。
(2024.6.18追記 ネットの情報では、ニコ生のフロント構成はnode.js+expressからkubernetesのマイクロサービスに中継しているような構成で、それがawsで動いているような記事が載っていました。そして、さらにパブリッククラウド側に問題ないという発表があったので、フロントサービスからの侵入じゃないように思えます。そうであると攻撃は内部からとなるんですけど、内部からのインターネット接続でプロキシやFW{最近ではIPSのfortinetの脆弱性が有名だけど}の脆弱性が突かれたのか、メールやウェブ等による標的型攻撃で社員の方のPCが乗っ取られたのか、それとも内部の犯行で、のいずれかで、そこを起点に、内部のDBサーバ、コンテンツサーバ、業務APサーバ等が次々と攻撃された可能性が高そうですね。)