年末のRackspaceのサービスダウン　パッチでなく緩和策での対応が裏目に

原因はランサムウェア攻撃

　Rackspaceが攻撃に関するフォレンジック調査の結果を発表したのは、年が明けた1月5日だ。

　その中で、当初は原因と考えられていたProxyNotShellというエクスプロイト（識別子はCVE-2022-41082とCVE-2022-41010）が根本の問題ではなかったこと、「PLAY」と呼ばれるランサムウェアオペレーションの犯行で、CVE-2022-41080という脆弱性を悪用したゼロデイ攻撃であることなどを報告している。

　PLAYは、2022年6月に登場したランサムウェアだ。同年10月にPLAYを詳細にレポートしたTrendMicroによると、暗号化したファイルに「.play」の拡張子を付け、暗号化とデータ公開の「二重恐喝」を行う。アルゼンチンなどの南米諸国、オランダ、スペインなどの欧州、インドなどが攻撃の対象国になっており、12月にはベルギーのアントワープ市が攻撃に遭ったことが報告されている。

　Bleeping Computerによると、PLAYは、電子メールで交渉して身代金要求のメモ内でTorの交渉ページに誘導するという一般的なランサムウェアのオペレーションとは異なる。一方で、ランサムウェアのペイロードを展開する前に、ターゲットのネットワークからデータを盗んで、身代金を支払わなければ盗んだデータを流出させる、と脅すという。

　Rackspaceは3万の顧客のうち27の顧客のPSTファイルにアクセスされていたことも明らかにした。また、調査に協力したCrowdStrikeによると、これら27のPST内のメールなどのデータが、閲覧、入手、悪用、拡散された形跡はないという。

　Rackspaceは身代金を支払ったかどうかについては明らかにしていない。