C
月内に
イタリアのCSIRTが、ランサムウェアグループ「Qilin」による国内の組織的な攻撃キャンペーンについて警告を発しました
📌 一言でいうと
イタリアのCSIRTが、ランサムウェアグループ「Qilin」による国内の組織的な攻撃キャンペーンについて警告を発しました。攻撃者はIvanti MDMやFortinet製品の既知の脆弱性の悪用、またはVPN認証情報のブルートフォースやIAB経由での入手を通じて初期侵入を行います。その後、Rustで開発されたカスタムランサムウェアを用いて、特にVMware ESXiなどの仮想化インフラを標的に暗号化を行います。
🔍該当判定
- Ivanti社のMDM(モバイルデバイス管理)製品を導入し、インターネットに公開している
- Fortinet社の製品(FortiGate等)を導入し、インターネットに公開している
- VPNサービスを利用しており、パスワード認証のみ(多要素認証を導入していない)
- 社内サーバーの仮想化基盤にVMware ESXiを利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Ivanti MDMおよびFortinet製品の最新パッチ適用。
2. VPNへの多要素認証 (MFA) の導入および強制。
3. VMware ESXi環境の監視強化とバックアップのオフライン管理。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Qilin ランサムウェアによる攻撃キャンペーンへの対応について
お疲れさまです。Qilinによる組織的な攻撃に関する情報共有です。
■ 概要
ランサムウェアグループ「Qilin」が、境界デバイスの脆弱性悪用やVPN認証情報の窃取を通じて侵入し、VMware ESXi等の仮想化基盤を標的とした暗号化攻撃を行っています。特にRust製のカスタムランサムウェアが使用される傾向にあります。
■ 影響範囲
- Ivanti MDM 製品
- Fortinet 製品
- VMware ESXi 仮想化環境
■ 対応手順
1. IvantiおよびFortinet製品のファームウェアを最新バージョンに更新し、既知の脆弱性を解消してください。
2. VPN接続における多要素認証 (MFA) の設定状況を確認し、未導入の場合は即時導入してください。
3. ESXiホストへのアクセス権限を最小化し、不審なプロセスの実行がないか監視を強化してください。
■ 参考情報
- CSIRT-ITA (BL01/260528/CSIRT-ITA)
対応優先度: 高
対応期限: 至急
お疲れさまです。Qilinによる組織的な攻撃に関する情報共有です。
■ 概要
ランサムウェアグループ「Qilin」が、境界デバイスの脆弱性悪用やVPN認証情報の窃取を通じて侵入し、VMware ESXi等の仮想化基盤を標的とした暗号化攻撃を行っています。特にRust製のカスタムランサムウェアが使用される傾向にあります。
■ 影響範囲
- Ivanti MDM 製品
- Fortinet 製品
- VMware ESXi 仮想化環境
■ 対応手順
1. IvantiおよびFortinet製品のファームウェアを最新バージョンに更新し、既知の脆弱性を解消してください。
2. VPN接続における多要素認証 (MFA) の設定状況を確認し、未導入の場合は即時導入してください。
3. ESXiホストへのアクセス権限を最小化し、不審なプロセスの実行がないか監視を強化してください。
■ 参考情報
- CSIRT-ITA (BL01/260528/CSIRT-ITA)
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Qilin Ransomware Campaign Targeting Virtualization Infrastructure
Dear IT/Security Team,
We are sharing intelligence regarding a systematic campaign by the Qilin ransomware group.
■ Overview
Qilin is targeting organizations by exploiting known vulnerabilities in perimeter devices and using compromised VPN credentials. Once inside, they deploy custom Rust-based ransomware specifically designed to encrypt VMware ESXi virtualization environments.
■ Affected Scope
- Ivanti MDM appliances
- Fortinet systems
- VMware ESXi infrastructure
■ Mitigation Steps
1. Ensure all Ivanti and Fortinet appliances are patched to the latest versions to mitigate known vulnerabilities.
2. Enforce Multi-Factor Authentication (MFA) for all VPN access to prevent credential-based intrusions.
3. Audit and harden VMware ESXi environments and ensure offline backups are maintained.
■ Reference
- CSIRT-ITA Bulletin BL01/260528/CSIRT-ITA
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing intelligence regarding a systematic campaign by the Qilin ransomware group.
■ Overview
Qilin is targeting organizations by exploiting known vulnerabilities in perimeter devices and using compromised VPN credentials. Once inside, they deploy custom Rust-based ransomware specifically designed to encrypt VMware ESXi virtualization environments.
■ Affected Scope
- Ivanti MDM appliances
- Fortinet systems
- VMware ESXi infrastructure
■ Mitigation Steps
1. Ensure all Ivanti and Fortinet appliances are patched to the latest versions to mitigate known vulnerabilities.
2. Enforce Multi-Factor Authentication (MFA) for all VPN access to prevent credential-based intrusions.
3. Audit and harden VMware ESXi environments and ensure offline backups are maintained.
■ Reference
- CSIRT-ITA Bulletin BL01/260528/CSIRT-ITA
Priority: High
Deadline: Immediate