ベトナムの暗号化プラットフォームがLog4j関連のランサムウェア攻撃を受ける

2021年12月28日（火）、ベトナム最大級の暗号取引プラットフォームであるONUSは、同社の決済システムを狙ったランサムウェア攻撃を受けたことを発表しました。決済システムでは、脆弱なLog4jのバージョンが使用されており、12月11日から13日の間に脅威アクターによって悪用され、Cyclosサーバーにバックドアがインストールされていたことが判明しました。このインシデントでは、E-KYC（Know Your Customer）データ、個人情報、およびハッシュ化されたパスワードを含む約200万件の顧客記録を含む機密データベースが脅威アクターによって流出させられました。

インシデント発生後しばらくして、ONUSは脅威アクターから連絡を受け、500万ドルの身代金を要求されましたが、ONUSはこれを拒否し、さらにFacebookの非公開グループを通じて顧客にインシデントを公表しました。ONUSが身代金の支払いを拒否した後、脅迫アクターは200万人近いONUSの顧客のデータをフォーラムで売りに出しました。

インシデントの発表後すぐに、ONUSにサービスを提供していたサイバーセキュリティ企業のCyStack社がインシデントを調査し、攻撃の仕組みや脅威のアクターが仕掛けたバックドアに関する調査結果を発表しました。 その結果、Log4Shellの脆弱性は、「プログラミング目的のみ」で使用されていたサンドボックスサーバー上に存在していましたが、システムの設定ミスにより、本番データが保存されているONUSのAmazon S3バケットに攻撃者がさらにアクセスできることが判明しました。

調査結果を公表するとともに、ONUSが取るべき提言として、ベンダーの指示通りにCyclosのLog4Shell脆弱性にパッチを当てること、流出したAWS認証情報を無効にすること、AWSのアクセス許可を適切に設定すること、機密性の高いS3バケットへの公開アクセスをすべてブロックすること、追加の制限を設けることなどを挙げています。