富士通のデータ侵害において、非常に高度な攻撃が使われたと公表されています。
ランサムウェアではなく、データ漏えいを目的としたマルウェアです。
ランサムウェアによる身代金目的でないということは、何らかのデータ窃取を目的にマルウェアを感染させたということでしょうか。完全な推測ですが、金銭目的ではない国家がバックについた脅威アクターなのかもしれません。
ここで注目したいことは、このマルウェアが高度な技術を使った偽装という点です。おそらく環境寄生型の攻撃だと思います。
マルウェアの挙動により、ファイルをコピーするコマンドが実行されたとありますが、おそらくこれもSCPコマンドなどによる正規のプロセスを踏んだファイルコピーだと思います。
もう一点、気になる点は、いつ感染していつ検知したのか具体的な日付が記載されていないことです。
おそらく、ログの保存期限からいつ侵害されたかは特定できなかったのではないでしょうか。
この事例から得られる教訓は以下だと思います。
・検知が難しい環境寄生型の攻撃に対して、どのように検知するポリシーを組むか
・どのログを残して、いつ侵害されたか把握するか
・データを外部に持ち出す通信をどのように検知するか
