米国のインフラ企業がランサムウェアに襲撃される

江添 佳代子

May 27, 2016 16:00
by 江添 佳代子

2016年4月25日、米国の公益企業Lansing Board of Water & Light(以下BWL)が、ランサムウェアによる攻撃の影響を受けて社内のシステムを一時シャットダウンしたことを発表した。

主に企業や個人ユーザーを対象として活動を拡大してきたランサムウェアが、昨今では立て続けに医療機関を標的としており、一部には身代金の支払いに応じた病院もあったという話題は以前にお伝えした。しかし「インフラ事業がランサムウェアに感染し、その被害を発表した」というケースは、おそらく今回が初めてだろう。

攻撃に気づいたBWLの、最初の報告

事件の被害者となったBWLは、米国ミシガン州の州都ランシングを拠点とする公益企業で、ミシガン州の複数の町に電力と水道の両方を供給している。4月25日、同社はツイッターの公式アカウントで状況を報告した。


「[1/4] 我々は本日、ランサムウェアの被害を受けた。それはフィッシングのウイルスを介して侵入し、我々の企業ネットワークに感染した」

このツイートで始まる計4回のツイートでは、同社がシステムを守るために全社のネットワークを閉鎖したこと、現在は地元や連邦の警察機関と協働していること、同社の各施設の運転機能には影響が及んでいないこと、そして顧客や従業員に関する個人情報は盗まれていないことなどが報告された。

ここで一つ補足しておきたい。「ランサムウェアは情報を盗み出すマルウェアではなく、感染先のデータを暗号化して利用不可能にするのだから、顧客の情報が漏えいしなかったのは当然だろう。なぜそんな間抜けな報告をするのだ?」と思われた方もいるかもしれない。しかしランサムウェアを使う攻撃者の中には、社内のファイルを次々と暗号化することで現場を混乱させ、セキュリティ担当者が駆り出されて防御が甘くなった状態を狙い、別の攻撃を仕掛ける者もいる。つまり本来の目的は身代金ではない、というケースもあり得る。

そして水道や電力は誰もが利用するものだ。インターネットを全く利用しない市民、オンラインショッピングを頑なに避ける市民、あるいは会員登録を強いられるたびダミーのデータを入力する市民でも、水道や電気に関しては、利用料金の支払い口座と連絡先を登録しないわけにはいかない。そのデータが危険に晒されれば、地域に暮らす市民のほぼ100%が関わる問題となる。

それらの点を考えれば、顧客の個人データの安全性が真っ先に確認されたのは重要なことだろう。ちなみに同社では、顧客のクレジットカードのデータをサードパーティのシステムに格納しており、社内のシステムでは扱わないようにしていたため、カード情報の安全性に関しては確認するまでもなかったようだ。

「ひどい目にあった」感染の顛末

それから2日後の4月27日、地元ランシングのニュース媒体『Lansing State Journal』が報じたところによれば、BWLは250人の従業員のメール、および同社の会計用システム、顧客からの問い合わせに利用されているサポート用の電話回線をシャットダウンしなければならない状況に陥ったという。ただし先述の通り、インフラ施設そのものは影響を受けず、またサービス開通時の連絡システムや、料金の支払いなどに利用されるシステムも通常どおりの運営を続けることができた。ともあれ、取材に応じたBWLのゼネラルマネジャーDick Peffleyは「ひどい目にあった」と感想を漏らしている。

Peffleyの説明によれば、その攻撃は4月25日、早朝の5時に開始されたという。一人の従業員がメールに添付されたファイルを開封したことで、内部ネットワークの1台のマシンに感染が起き、その感染がネットワーク内で広がるにつれて、他のマシンのファイルも暗号化されていった。典型的な感染経路だと言えるだろう。しかし幸いにも、同社が感染に気付くまでに時間はかからなかったようだ。

Peffleyは、「BWLのネットワークに接続されているすべての顧客サービスは、今日(4月27日)のうちにも回復するのではないか」との見通しを語りながらも、「情報技術の専門家たちが、感染したマシンの検査を現在も行っているため、もう少し時間がかかるかもしれない」「我々は、運任せに事を進めることができないから」と語った。

このPeffleyの見通しは若干甘かったようだ。翌週の5月2日になってようやく、BWLは顧客サポート用の「メインの電話回線」が通常運転を再開したことをツイッターで案内し、「(普段よりも、電話が繋がるまでの)待ち時間が長くなると思われるが、どうかご辛抱いただきたい」と説明した。そして事件の発覚から一週間が経過しても、BWLのすべてのシステムが復帰することはなかった

5月18日現在、同社のFacebookやWEBサイト、ツイッターなどを見ても、その後のシステム復旧に関する新たな報告は行われていない。しかし最近では、発電所の敷地に営巣しているハヤブサのヒナの様子を伝えるツイートなどが発信されており、それに対する批難のコメントも見つからないので、すでに厳しい局面は乗り越えているのだろう。(ちなみに、このハヤブサは2年前から発電所に営巣しており、BWLのWEBサイトにはハヤブサの特設ページも設けられているので、このタイミングで唐突に報告されたわけではない)

なお、この事件で確認された「ウイルス」とはどのようなものだったのか、そして暗号化されたデータを復号するための身代金が犯罪者から要求されたのか否かについては「警察機関が刑事事件として捜査中であるため、いまは詳しく説明することができない」とPeffleyはコメントしている。

「インフラ事業へのランサムウェア攻撃」は、新しい波になるか?

電力やガス、水道などを扱うインフラ施設がサイバー攻撃の対象となる事例は、これまでに何度も世界中の国々で報告されてきた。しかし、それらの施設に対する攻撃には、主に情報を盗み出すための、あるいは施設の機能を損ねるためのツールが用いられてきた。インフラ事業者がランサムウェアに狙われた、という今回の事件は特筆すべき事件だ。

BWLを襲った攻撃の詳細はまだ明らかになっていないが、現時点で伝わっている情報だけを見るなら、同社は普段から適切なセキュリティ対策を行っていたと言えるだろう。同社は明け方のマルウェアの感染に素早く気付き、感染の拡大を阻止するための行動に移ることができた。さらに影響を受けたマシンの特定をするべく専門家の力を借り、警察機関への相談を済ませた後、それらの状況を顧客に案内するまでに、ほんの数時間しか費やしていない。また感染を社内システムのみに留められたこと、施設の運転システムや顧客の個人情報に影響が出なかったことからも、「感染後の被害を食い止めるためのシステム構築」を目指していたことがわかる。

医療団体を続々と攻撃するようになったランサムウェアの使い手たちが今後、国の公共事業者を狙うような機会は増えるだろうか? 気軽に数十万円、数百万円規模の金稼ぎを企む罪者たちのせいで、発電所やダムが機能を停止する、あるいは破壊されるような事態になっては目も当てられない。攻撃の影響を軽微に留めたBWLのケースを見て、犯罪者たちが「あまり効率の良い標的ではないな」と考えてくれることを祈りたい。

「午前5時に一人の職員がランサムウェアの感染を引き起こした場合、自分の施設は被害を最小限に食い止めることができただろうか?」と、世界中の重要インフラ施設のセキュリティ担当者たちが確認する機会になるのであれば、今回の事件は警告も兼ねた貴重なモデルケースだったといえるだろう。もちろん、不便な状況を強いられた同社のスタッフたちや、地元の利用者たちにとって、それが大きな迷惑だったことに変わりはないのだが。




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…