米国のインフラ企業がランサムウェアに襲撃される

江添 佳代子

May 27, 2016 16:00
by 江添 佳代子

2016年4月25日、米国の公益企業Lansing Board of Water & Light(以下BWL)が、ランサムウェアによる攻撃の影響を受けて社内のシステムを一時シャットダウンしたことを発表した。

主に企業や個人ユーザーを対象として活動を拡大してきたランサムウェアが、昨今では立て続けに医療機関を標的としており、一部には身代金の支払いに応じた病院もあったという話題は以前にお伝えした。しかし「インフラ事業がランサムウェアに感染し、その被害を発表した」というケースは、おそらく今回が初めてだろう。

攻撃に気づいたBWLの、最初の報告

事件の被害者となったBWLは、米国ミシガン州の州都ランシングを拠点とする公益企業で、ミシガン州の複数の町に電力と水道の両方を供給している。4月25日、同社はツイッターの公式アカウントで状況を報告した。


「[1/4] 我々は本日、ランサムウェアの被害を受けた。それはフィッシングのウイルスを介して侵入し、我々の企業ネットワークに感染した」

このツイートで始まる計4回のツイートでは、同社がシステムを守るために全社のネットワークを閉鎖したこと、現在は地元や連邦の警察機関と協働していること、同社の各施設の運転機能には影響が及んでいないこと、そして顧客や従業員に関する個人情報は盗まれていないことなどが報告された。

ここで一つ補足しておきたい。「ランサムウェアは情報を盗み出すマルウェアではなく、感染先のデータを暗号化して利用不可能にするのだから、顧客の情報が漏えいしなかったのは当然だろう。なぜそんな間抜けな報告をするのだ?」と思われた方もいるかもしれない。しかしランサムウェアを使う攻撃者の中には、社内のファイルを次々と暗号化することで現場を混乱させ、セキュリティ担当者が駆り出されて防御が甘くなった状態を狙い、別の攻撃を仕掛ける者もいる。つまり本来の目的は身代金ではない、というケースもあり得る。

そして水道や電力は誰もが利用するものだ。インターネットを全く利用しない市民、オンラインショッピングを頑なに避ける市民、あるいは会員登録を強いられるたびダミーのデータを入力する市民でも、水道や電気に関しては、利用料金の支払い口座と連絡先を登録しないわけにはいかない。そのデータが危険に晒されれば、地域に暮らす市民のほぼ100%が関わる問題となる。

それらの点を考えれば、顧客の個人データの安全性が真っ先に確認されたのは重要なことだろう。ちなみに同社では、顧客のクレジットカードのデータをサードパーティのシステムに格納しており、社内のシステムでは扱わないようにしていたため、カード情報の安全性に関しては確認するまでもなかったようだ。

「ひどい目にあった」感染の顛末

それから2日後の4月27日、地元ランシングのニュース媒体『Lansing State Journal』が報じたところによれば、BWLは250人の従業員のメール、および同社の会計用システム、顧客からの問い合わせに利用されているサポート用の電話回線をシャットダウンしなければならない状況に陥ったという。ただし先述の通り、インフラ施設そのものは影響を受けず、またサービス開通時の連絡システムや、料金の支払いなどに利用されるシステムも通常どおりの運営を続けることができた。ともあれ、取材に応じたBWLのゼネラルマネジャーDick Peffleyは「ひどい目にあった」と感想を漏らしている。

Peffleyの説明によれば、その攻撃は4月25日、早朝の5時に開始されたという。一人の従業員がメールに添付されたファイルを開封したことで、内部ネットワークの1台のマシンに感染が起き、その感染がネットワーク内で広がるにつれて、他のマシンのファイルも暗号化されていった。典型的な感染経路だと言えるだろう。しかし幸いにも、同社が感染に気付くまでに時間はかからなかったようだ。

Peffleyは、「BWLのネットワークに接続されているすべての顧客サービスは、今日(4月27日)のうちにも回復するのではないか」との見通しを語りながらも、「情報技術の専門家たちが、感染したマシンの検査を現在も行っているため、もう少し時間がかかるかもしれない」「我々は、運任せに事を進めることができないから」と語った。

このPeffleyの見通しは若干甘かったようだ。翌週の5月2日になってようやく、BWLは顧客サポート用の「メインの電話回線」が通常運転を再開したことをツイッターで案内し、「(普段よりも、電話が繋がるまでの)待ち時間が長くなると思われるが、どうかご辛抱いただきたい」と説明した。そして事件の発覚から一週間が経過しても、BWLのすべてのシステムが復帰することはなかった

5月18日現在、同社のFacebookやWEBサイト、ツイッターなどを見ても、その後のシステム復旧に関する新たな報告は行われていない。しかし最近では、発電所の敷地に営巣しているハヤブサのヒナの様子を伝えるツイートなどが発信されており、それに対する批難のコメントも見つからないので、すでに厳しい局面は乗り越えているのだろう。(ちなみに、このハヤブサは2年前から発電所に営巣しており、BWLのWEBサイトにはハヤブサの特設ページも設けられているので、このタイミングで唐突に報告されたわけではない)

なお、この事件で確認された「ウイルス」とはどのようなものだったのか、そして暗号化されたデータを復号するための身代金が犯罪者から要求されたのか否かについては「警察機関が刑事事件として捜査中であるため、いまは詳しく説明することができない」とPeffleyはコメントしている。

「インフラ事業へのランサムウェア攻撃」は、新しい波になるか?

電力やガス、水道などを扱うインフラ施設がサイバー攻撃の対象となる事例は、これまでに何度も世界中の国々で報告されてきた。しかし、それらの施設に対する攻撃には、主に情報を盗み出すための、あるいは施設の機能を損ねるためのツールが用いられてきた。インフラ事業者がランサムウェアに狙われた、という今回の事件は特筆すべき事件だ。

BWLを襲った攻撃の詳細はまだ明らかになっていないが、現時点で伝わっている情報だけを見るなら、同社は普段から適切なセキュリティ対策を行っていたと言えるだろう。同社は明け方のマルウェアの感染に素早く気付き、感染の拡大を阻止するための行動に移ることができた。さらに影響を受けたマシンの特定をするべく専門家の力を借り、警察機関への相談を済ませた後、それらの状況を顧客に案内するまでに、ほんの数時間しか費やしていない。また感染を社内システムのみに留められたこと、施設の運転システムや顧客の個人情報に影響が出なかったことからも、「感染後の被害を食い止めるためのシステム構築」を目指していたことがわかる。

医療団体を続々と攻撃するようになったランサムウェアの使い手たちが今後、国の公共事業者を狙うような機会は増えるだろうか? 気軽に数十万円、数百万円規模の金稼ぎを企む罪者たちのせいで、発電所やダムが機能を停止する、あるいは破壊されるような事態になっては目も当てられない。攻撃の影響を軽微に留めたBWLのケースを見て、犯罪者たちが「あまり効率の良い標的ではないな」と考えてくれることを祈りたい。

「午前5時に一人の職員がランサムウェアの感染を引き起こした場合、自分の施設は被害を最小限に食い止めることができただろうか?」と、世界中の重要インフラ施設のセキュリティ担当者たちが確認する機会になるのであれば、今回の事件は警告も兼ねた貴重なモデルケースだったといえるだろう。もちろん、不便な状況を強いられた同社のスタッフたちや、地元の利用者たちにとって、それが大きな迷惑だったことに変わりはないのだが。




AlphaBay・Hansa大手闇市場が閉鎖 (1) AlphaBay消滅後のダークマーケットはどうなる?

July 21, 2017 13:30

by 江添 佳代子

ダークウェブの闇市場の最大手として知られていたAlphaBayが7月5日に閉鎖され、その運営者として逮捕されていたアレキサンダー・カーゼスがタイの拘置所で死亡したことは既にTHE ZERO/ONEでお伝えした。カーゼスの自尽が報じられてから日は浅いのだが、セキュリティ業界では早くも「次の闇市場の王者…

賭博のイカサマアプリで大学生が約6億6300万円を荒稼ぎ

July 20, 2017 08:00

by 牧野武文

中国の主要都市では、アリペイ(アリババ)、WeChatペイ(テンセント)のモバイルペイメントが普及し、「無現金社会」がほぼ実現されている。2つのスマートフォン決済手段の普及の大きな原動力になったのが、「紅包」(ホンバオ、ご祝儀)機能だ。この紅包機能を利用したイカサマギャンブルアプリを開発した大学生が…

最大のダークウェブ闇市場「Alphabay」運営者がタイで逮捕され自殺

July 19, 2017 11:00

by 江添 佳代子

ダークウェブの闇市場最大手「Alphabay」を運営した容疑で逮捕されていた男が、拘置所で自らの命を絶ったようだ。『ウォールストリートジャーナル』の報道によれば、死亡が確認されたアレキサンダー・カーゼス(Alexandre Cazes)は26歳のカナダ市民。彼はタイで逮捕されたのち、現地の拘留所に収…