アトランタ市への攻撃が発生したのはいつ？

2018 年 3 月 22 日、アトランタ市はオペレーティングシステムとセキュリティサービスがランサムウェア攻撃の被害に遭ったことを確認しました。アトランタ市の記録の一部もデータ漏洩により紛失され、行政機関の多くの職員が文書のハードコピーの作成を強いられました。

何が起きたのか？

この攻撃以前に、アトランタ市は IT のインフラストラクチャが老朽化していることを認識しており、潜在的なサイバー攻撃に対して脆弱性が高まっている状態でした。2018 年 1 月付けの監査報告書では、次のことが報告されています。

• 市の情報セキュリティ管理システム (ISMS) には、「欠落部分のある、または失効している方針、手順、ガイダンスの文書」が組み込まれていた
• 最大 1,500 件～ 2,000 件の深刻な脆弱性が存在していた
• 100 台近くの行政機関のサーバーで古いソフトウェアが稼動していた
• 「リスクの特定、評価、軽減を行うための正式なプロセスが欠如」していた

強固なセキュリティプロトコルの欠如と、サイバーセキュリティに対する職員の安心感が、サイバー攻撃に最適な環境を生み出していたのです。3 月 22 日、アトランタ情報管理局は、「顧客が請求書の支払いや裁判関連の情報へのアクセスに使用するいくつかのアプリケーションを含む」複数の社内向けおよび顧客向けアプリケーションに障害が発生したという通報を受けました。

空港の Wi-Fi を含む、公共の Wi-Fi システム、市のシステムやネットワークを感染させたランサムウェア攻撃により、市民は機密情報へのアクセス、顧客向けアプリケーションの利用、金融取引の完了、請求のオンライン支払いなどが行えなくなりました。また、最大でローカルアプリケーションの 3 分の 1 が暗号化され、システム、ファイル、文書にアクセスできなくなりました。この突然の混乱に対応するため、企業は手書きで書き留めたり、記録を取ったりせざるを得ませんでした。

この攻撃はランサムウェア攻撃の中でも、特に SamSam ランサムウェアと特定され、被害を受けたシステムやネットワークにアクセスしようとした行政の職員は、ウイルスを除去し、アプリケーションへのアクセスを許可する秘密鍵を入手するために、最大 5 万ドルをビットコインで支払うよう要求されました。

SamSam とは？

SamSam ランサムウェアは、ネットワークの活動を監視し、進行中のオペレーションに関する詳細な情報を入手したり、潜在的な脆弱性を評価したりするマルウェアの一種です。これは、WannaCry や Petya のような他の有名なランサムウェアとは異なり、標的のネットワークに侵入するとすぐに攻撃を仕掛けてきます。悪質なハッカーは SamSam を使用することで、ネットワークに深く潜り込み、確実に最大限の被害を与え莫大な身代金の支払いを手に入れることができます。また、攻撃に対応するために使用できる既存のバックアップも削除されます。

ハッカーは、次の方法により手動で古いネットワークサーバーやシステムデータにアクセスすることができます。

• リモートネットワークプロトコル (RDP) の脆弱性を利用したネットワークへのアクセス
• ファイル転送プロトコル (FTP) サーバーへの侵入
• 脆弱なパスワードに対する総当たり攻撃の完了

一旦ネットワークに侵入すると、ハッカーは管理者権限と特権を入手でき、検知されることなく別のマルウェアを実装したり、二要素認証などのセキュリティツールを無効にしたりして検知を回避することができます。

SamSam ランサムウェアは類のない存在で、データ、ファイル、サーバーだけでなく、あらゆるハードウェアの再起動をサポートする、すべての基盤となる要素やアプリケーションも暗号化してしまいます。このため、データの復旧は労力と時間を要するプロセスとなります。ファイルを作成し、一意の AES (Advanced Encryption Standard) 鍵と RSA 公開鍵を使用して暗号化し、ファイルへのアクセスを不可能にすることで、ファイルを解読できるようにするためには、身代金の支払いを完了させなければならないようにします。

サイバー犯罪者が操作を完了すると、身代金が要求され、オープンソースの Tor ウェブサイトを通じて支払うよう求められます。支払いが完了すると、ネットワークの解読を可能にする暗号鍵が提供されます。

市はどう対応したのか？

アトランタ市の行政が身代金を支払ったかどうかは不明ですが、ランサムウェア攻撃による経済的損失の総額は前例のないものとなりました。ビットコインで $5 万を支払うよう要求された後、ハッカーが支払いを可能にするページを削除したことにより、同市は被害を管理するための緊急対策を講じることになりました。

ランサムウェア攻撃によるアトランタの被害は？

アトランタ市は、SamSam ランサムウェア攻撃の被害に対応するために、緊急契約に $260 万以上を投じ、コンピュータシステムとサービスを復旧させました。サイバー攻撃は 5 日間でアトランタ市の地方自治体の 13 部門のうち 5 部門に影響を与えました。この請求には、Edelman 社によるインシデント対応サービス費 ($5 万)、アトランタインフォメーションマネージメント (AIM) の人件費、民間企業 Secureworks 社の専門技術費、公共部門のオンラインシステムを復旧させるための Cisco と Microsoft クラウドに関する専門家に支払う費用が含まれていました。

3 月 22 日から 4 月 2 日にかけてアトランタ市のランサムウェア攻撃で被害を受けたシステムには、アトランタ市の地方裁判所、公共料金の支払いサービス、駐車場サービスなどが含まれ、いずれも以前のように手動で処理せざるを得ませんでした。これには、水道料金などの基本的なサービスに対するオンラインシステムや対面による支払いシステムが含まれていました。

影響を免れた重要な交通機関には、ハーツフィールドジャクソンアトランタ国際空港があり、FBI、シークレットサービス、国土安全保障省の助言により、公共の Wi-Fi を使用できないようにしました。消防、警察、医療サービスなど、極めて重要なサービスに甚大な打撃を与えた英国の病院へのランサムウェア攻撃とは異なり、アトランタの医療サービスは直接的な被害を受けませんでした。

攻撃から 5 日後、アトランタ市は最新情報を提供する情報ハブを立ち上げました。これにより、職員や住民はコンピュータを再び作動させることはできましたが、多くのサービスは利用できないままでした。電子メール、Oracle、Accela など、職員がすぐに使用できるサービスもありましたが、アトランタ国際空港の公共 Wi-Fi、水道料金のオンライン支払い (5 月まで利用不可)、裁判所のオンライン支払いオプション (6 月まで利用不可) など、すぐに利用できないサービスもありました。しかし、いくつかのサービスやデータは恒久的に消去されたままでした。その中にはいくつかの法的文書や警察の動画ファイルも含まれていました。

データ漏洩の後、アトランタ市の Keisha Lance Bottoms 市長と複数の幹部は、市民の情報は漏洩しておらず、サイバーセキュリティは今後も政策の最重要課題であると述べました。市は 2018 年 9 月、Gary Brantley を新しい最高情報責任者に任命し、翌年 6 月には新しい最高業務責任者兼緊急事態準備部長を任命しました。

2018 年 12 月、米司法省はアトランタの連邦大陪審が、サーバーやワークステーションを含むアトランタ市が所有する約 3,789 台のコンピュータを感染させた巧妙なランサムウェア攻撃で、2 人のイラン人を起訴したと発表しました。この攻撃について、政府は次のことを認めています。「アトランタ市の業務で大きな混乱が発生し、特定の行政機能が損なわれ、今後数週間から数カ月の間に多額の費用を負担しなければなりません。現在までに、この攻撃による損害は数百万ドルに達しています。」