バイデン大統領がランサムウェアを安全保障問題と見なすワケ

国際

  • ブックマーク

 今年5月に起きた米パイプライン大手のコロニアル・パイプラインや世界最大手の食肉加工JBSへの身代金要求型ウイルス(ランサムウェア)攻撃を受け、ジョー・バイデン米大統領は、「安全保障上の重大な懸念」と強い危機感をあらわにした。

 1回のランサムウェア攻撃であっても、エネルギーや食品、輸送などの重要インフラが被害を受ければ、様々な業種に負の波及効果が及び、経済活動が打撃を受け、ひいては安全保障にも悪影響が出かねない。

 また、犯行グループが被害者から盗んだ知的財産や個人情報に関するデータをオンライン上に暴露すれば、企業の競争力が失われ、流出した個人情報の関係者たちに身の危険が迫る可能性すらある。

 だからこそ、バイデン大統領はランサムウェア攻撃を安全保障上の問題と見なしているのだ。

  しかし残念ながら、今までにも安全保障や治安を揺るがしかねない被害はいくつも起きてきた。本稿ではその事例を紹介する。

世界大手の海運企業4社全てが被害に

 国際貿易量の8割は海運が担うが、その世界大手の海運企業4社全てがランサムウェア攻撃に遭っている。

 2017年6月に最初に攻撃を受けたのは、世界のコンテナ輸送の15%を担うデンマークのコンテナ船世界最大手「A.P. モラー・マースク」だった。

 攻撃後、予約システムだけでなく、顧客や提携先との連絡システムを含むITシステムが一時使えなくなったため、マースクは手書きの書類や個人のGmailアカウント、無料通話アプリのワッツアップを個人携帯で使って顧客や提携先と連絡を取った。

 マースクが業務復旧のため10日間に再インストールしたデバイスの数は、サーバー4000台、パソコン4万5000台、アプリケーション2500個に上る。推定被害額は3億ドル(約330億円)に及ぶ。

 マースクのセーレン・スコウ最高経営責任者(CEO)は、未曾有の危機に際して陣頭指揮を取り、危機対応のための全ての打ち合わせや電話会議に出席し、指示を出した。また、IT関連の打ち合わせや、サイバー攻撃に使われたランサムウェアに関するミーティングにも出席した。さらに、社内と社外とのコミュニケーションを重視し、港湾や予約システムの現状について毎日情報を更新した。

 スコウCEOは2017年8月の英フィナンシャル・タイムズ紙のインタビューに対し、ランサムウェア攻撃の教訓から学び、同社がサイバーセキュリティ対策と復旧能力を強化したと語っている。

狙われたワシントンDC警察

 今年4月、米ワシントンDC警察はロシア語圏で活動する犯罪グループ「バブック」からランサムウェア攻撃を受け、250ギガバイトもの大量の機密情報を盗まれた。そして、400万ドル(約4億3866万円)の身代金を払わなければ、犯罪捜査情報や警察への情報提供者の個人情報などを暴露すると脅迫を受けた。

 警察は情報流出をやめさせようと、犯行グループに10万ドル(約1097万円)支払うことを持ちかけたが、バブックは交渉決裂を宣言。盗んだ情報を5月にオンライン上に投稿した。暴露された情報には、米連邦捜査局(FBI)やシークレットサービスから受け取っていた情報や、警察官の懲戒処分に関する数百ものファイルも含まれている。

 捜査関係者への脅迫や、身の安全に危険が及ぶ可能性があるだけでなく、今後の犯罪捜査にも影響しかねない。結局は身代金を払わなかったとは言え、犯行グループに支払いを持ちかけた時、ワシントンDC警察はさぞ断腸の思いだっただろう。

 こうした情報漏洩や脅迫の被害を避けるには、機密データが抜かれそうになってもすぐに検知・防止するための「データ損失防止」と呼ばれるツールの導入が必要だ。さらに、情報を保存する際に暗号化しておけば、万が一その情報を第三者に盗まれたとしても、中身が何か相手にはわからない。

 実は、警察がランサムウェア攻撃を受けたのは、これが初めてではない。警察署や保安官事務所のランサムウェア被害は、少なくとも2013年から起きている。規模の小さな警察署の場合、予算がないため、Windows XPなど古くて脆弱なITシステムを使い続けがちであり、サイバー攻撃の被害を尚更受けやすい。

 尚、ワシントンDC警察は、使っている監視カメラの録画機能の7割が2017年1月12日から4日間、使えなくなるという事件にも見舞われた。それはドナルド・トランプ前大統領の就任式のわずか8日前の大惨事だった。録画機能が失われたがために、高齢者の女性を殺害した容疑者を逮捕する上で支障が出る恐れがあったという。

批判が殺到したロサンゼルス・アズサ警察署

 今年5月27日、米西海岸カリフォルニア州ロサンゼルス郡南東部に位置する人口5万人弱の都市アズサの警察署(署員63名)も、3月9日にランサムウェア攻撃を受けていたことが明らかになった。ロシア語圏で活動する犯罪グループ「ドッペルペイマー」の攻撃により、警察はシステムにアクセスできなくなった上、大量の情報も抜き取られた。

 アズサで活動しているギャングのあだ名、携帯番号や住所に加えて、犯行現場の写真、警察への情報提供者から寄せられた機密情報を含む調査報告書などがオンライン上に暴露され、不特定多数が閲覧している。

 ドッペルペイマーがダークウェブ上に設けているアズサ警察署関連のページへのアクセス数は、6月4日時点で1万1835回に達した。

 尚、ドッペルペイマーは、身代金として当時80万ドル(約8773万円)相当の15.5ビットコインを払うよう要求したが、アズサ警察署は支払い拒否を決定した。警察署長は、今回のサイバー攻撃で、街の安全を守る警察の能力に支障はないと主張している。

 しかし、事はそれで収まらなかった。今年3月の攻撃被害が公表されてから1週間後、アズサ警察署が2018年にもランサムウェア攻撃を受け、なおかつ身代金を払っていたとの衝撃の事実が、ロサンゼルス・タイムズ紙によって報じられたのだ。しかも、犯行グループの名前すら未だに不明である。

 カリフォルニア州政府の職員からのメールに見せかけたなりすましメールの添付ファイルをアズサ警察署員が開き、感染が広まった。その結果、警察官を事件現場に急行させるためのシステムや逮捕情報のデータベースなどに1週間以上、アクセスできなくなったという。システムが復旧するまでの間、同警察署は、緊急通報への対応などで他の警察署の助けを借りることになった。

 追い詰められたアズサ警察署は、警察としての任務を遂行する上で欠かせない情報へのアクセスを取り戻すため、市が契約している保険会社を通じて6万5000ドル(約713万円)の身代金を支払った。さらに復旧費用として、5万ドル(約548万円)以上かかっている。

 約3年もの間、マスコミに追求されるまで、攻撃の被害に遭い、なおかつ身代金を払っていた事実を公表しなかった市は、批判を浴びた。一連の対応について理由を問われた市の幹部は、「データが盗まれていなかったため」と説明している。

自力でデータを復旧した労働組合

 ランサムウェア攻撃が2015年頃から激増したのには、2つの理由がある。

 1つは、ビットコインなど、足のつきにくい送金が可能になる暗号資産が登場したためだ。2つ目の理由としては、自らコンピュータウイルスを作れなくても、「サービス」として他の犯罪グループから手軽に購入できるようになったことがある。

 コロニアル・パイプラインを攻撃した犯罪グループ「ダークサイド」も、こうした「ビジネスモデル」を使っている。

 犯行グループに身代金を払えば、次のサイバー攻撃の資金になり、さらに他の組織や安全保障が危険にさらされる。身代金を払わずに業務を復旧させる上で大きな鍵を握るのが、日頃のこまめなデータのバックアップだ。

 米国とカナダのトラック運転手や、倉庫労働者、医療従事者など140万人の会員を抱える世界最大の労働組合「チームスターズ」は、2019年9月にランサムウェア攻撃を受け、全てのシステムがダウンしてしまった。

 犯行グループは、データへのアクセス復旧の身代金として250万ドル(約2億7534万円)を要求。困った労働組合はFBIに相談し、犯人を見つけて欲しいと頼んだ。

 ところがなんと、FBIは「こんな事件はワシントンDCのあちこちで起きており、当方としては何もできない」と突き放し、「払えばいいじゃないか」と言ったという。

 労働組合の幹部たちは、身代金を払って暗号を解く鍵を入手するべきかどうかで最後まで意見が割れた。その間、犯人グループと交渉し、身代金を110万ドル(約1億2115万円)まで値下げすることに成功している。

 しかし最後の最後で、労働組合は腹を決め、支払いを拒否した。そしてデジタル化されたバックアップデータや紙の資料も使って99%のデータの復旧に成功し、自力で業務を再開させている。

身代金を支払った組織の8割が再び攻撃を受ける

 英セキュリティ企業「ソフォス」の調査では、身代金を払っても、全ての情報を取り戻せた被害者はわずか8%しかいない。また、身代金を払うと、与し易いと犯罪組織から認定され、再度攻撃を受けることもある。

 イスラエルで創業したセキュリティ企業「サイバーリーズン」によると、身代金を払った組織の8割が再びランサムウェア攻撃を受けており、そのうち半数は同じ犯罪グループからの攻撃だったという。

 ランサムウェア攻撃の被害を避けるには、なりすましメール対策や保存データの暗号化が必要だ。また、先述したチームスターズの例からもわかるように、万が一、攻撃被害に遭ったとしても断固として攻撃者からの要求をはねつけ、業務を復旧させられるようにするには、日頃からのこまめなデータのバックアップが非常に重要である。

 

松原実穂子
NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

Foresight 2021年6月23日掲載

メールアドレス

利用規約を必ず確認の上、登録ボタンを押してください。