アバストがサポートするのは最新のブラウザです。このウェブページのコンテンツを正しく表示するには、ブラウザをアップデートしてください。

自社のビジネスに最適なソリューションをお探しですか?
ケーススタディ

ボルチモアにおけるランサムウェア

2019 年 5 月のボルチモアに対するランサムウェア攻撃により、企業、政府機関、公共サービスは大規模な影響を受け、市としての機能が麻痺する事態となり、損害の復旧に最大 1,800 万ドルの費用がかかりました。ここでは、ボルチモアに起きたランサムウェア被害の背景と攻撃による被害、また、企業が安全性を維持するために、これらの事件から何を学ぶことができるのかを探ります。

アバスト ビジネス サーバー アンチウイルスを使ってランサムウェアからビジネスを保護しましょう

ボルチモアへの攻撃が発生したのはいつ?

ボルチモアに対するランサムウェア攻撃は、2019 年 5 月 7 日に発生し、その時期は市もすでに慌ただしい状況に置かれていました。前ボルチモア市長のキャサリン・ピューは、スキャンダル、刑事告発、収監の流れを経て、5 月 2 日にその職を退いたばかりであり - 5 月 9 日には後任のバーナード・C・ヤングが就任しました。ハッカーが市のデジタル インフラストラクチャを攻撃したのは、市のサイバーセキュリティの優先順位が後回しにされていた時期でした。攻撃は 2 週間以上も続きました。

2019 年のこの事件は、同市 2 度目のデータ侵害の被害でした。2018 年 3 月には、ランサムウェア攻撃により市の緊急システムが 12 時間以上機能せず、2020 年 11 月 25 日には、ボルチモア郡公立学校で 3 度目のランサムウェア攻撃が発生し、170 校以上、多数の教育システム、最大 11 万 5,000 人の生徒に影響を及ぼしました。

ボルチモアにおけるランサムウェア攻撃はどのようにして発生した?

2019 年 5 月 7 日、ボルチモアの公共事業局は、メール サービスが利用できないことをツイートしました。その後、機能停止は電話回線にも及びました。これに続き、運輸局のシステムを含む最大 1 万もの政府系システムがアクセス不能になるというドミノ倒しのような事態が市全域で発生しました。

2018 年に成功した同市へのランサムウェア攻撃と同様、緊急電話回線へのサイバー攻撃未遂が疑われました。その後、市当局は FBI と協力し、市が RobbinHood ランサムウェアの攻撃の被害に遭っていると特定することができました。

悪意のあるハッカーが RobbinHood を使って政府関係機関をすべてのオペレーティング システムから締め出し、すべてのデータを人質に取り、さらにはすべてのシステムとアプリケーションをアクセス不能にしました。最初の攻撃から 2 日後、ハッカーは新市長に対して、ロックしたシステム 1 件あたり 3 ビットコイン、あるいは全システムのアクセス回復に 13 ビットコイン(最大 7 万 6,000 ドル)の身代金を要求しました。さらに、身代金は 5 月 11 日から毎日 1 万ドルずつ引き上げられ、支払いに応じない場合は、漏洩したすべてのデータを完全に消去すると脅迫してきました。

RobbinHood とは?

Robbinhood とはランサムウェアの一種であり、Ryuk、LockyPetya などの高度なランサムウェアで見られるようなより洗練された手法を踏襲しており、ハッキングされたリモート デスクトップ プロトコル(RDP)を介して侵入します。これで、ハッカーは関連するハードウェアとネットワークの接続を切断し、サイバーセキュリティ対策(および復旧ソフトウェア)を根絶し、暗号化によってすべてのファイルとフォルダーへのアクセスを制限することができるのです。そして、復号化キーと引き換えに身代金を支払わない場合は、機密データを復旧できなくするのです。

市はどう対応したのか?

ボルチモア市が攻撃の対象となっていることを知ったヤング市長は、公式声明を発表し、市のサービスの相当数が一時的に手作業による処理に置き換わり、市民が固定資産税や駐車料金を支払うためのカード決済システムなど、多くの行政サービスが利用できなくなったと強調しました。しかし、市は FBI や Microsoft などの技術専門家と協力し、すべてのシステムを復旧させるために早急に対応しているとも述べました。再構築が必要なシステムもあることから、改善には数週間から数か月かかる見通しだと認めました。

2 週間にわたり、市の職員はメール システムにアクセスできない事態となりました。そこで、職員たちは状況を打破するため、Gmail アカウントを作成し、市民が水道料金などの必要なサービスを支払えるよう工夫しました。残念ながら、大量のアカウントを作成したことで、Google のスパム システムに警告を与え、アカウントはブロックされてしまいましたが - 通知を受けた Google はアカウントのブロックを解除しました。

今回のランサムウェア攻撃は、ハッカーがエクスプロイト ツールの EternalBlue(以前 NSA が作成したもの)を使って Windows システムに侵入したと見られたため、国家安全保障局(NSA)に責任があると一般的には考えられていました。このツールは、2017 年 4 月に Shadow Brokers によって盗まれ流出し、新規に開発されるランサムウェアで人気のツールとなったことから、攻撃用のアクセス ポイントになったのではないかと考えられています。

国家安全保障局(NSA)サイバーセキュリティ戦略担当局長上級顧問のロブ・ジョイス氏は、EternalBlue によるものだと決めつけるのは「短絡的」であると回答しました - Microsoft は EternalBlue に対抗するパッチを送り、ボルチモアは 2 年以上かけて今回のケースと IT インフラストラクチャ内にあるその他の脆弱性を改善しました。マルウェア アナリストのジョー・スチュアート氏が、この攻撃をさらに詳しく調査したところ、実際にはランサムウェアのコードに EternalBlue エクスプロイトの痕跡はなかったものの、マルウェア拡散の手助けをした可能性があると判断しています。

ボルチモア郡は身代金を払ったのか?

ボルチモア郡には、市職員に関連する機密データの公開や、さらなる情報も公開するといった脅威など、ハッカーからの圧力が高まっていましたが、身代金は支払いませんでした。6 月中旬にはほとんどのオペレーティング システムが再稼働し、同月末には電子許可証、不動産、職員のアカウントなどいくつかのシステムが完全に再稼働するようになりました。

ヤング市長は、世論からの批判や身代金の支払いを求める声に対し、Twitter でビデオ声明を発表しました。以下声明文:

「まず、シークレット サービスと FBI から、身代金を支払わないようにとの忠告を受けています。次に、身代金の支払いは我々の取るべき手段ではないということです。我々は犯罪行為に報いることはしません。身代金を支払ったとしても、システムのロック解除をしてくれるという保証はありません。」

「支払いを追跡することや、支払い先を確認することさえもできません。今回支払いを要求されましたが、今後も身代金目的で我々のシステムに他のマルウェアを忍ばせ、人質を取るかもわからないのです。最終的には、これまで通り、安全で安心な環境を確保するためには、あらゆる手段を講じなければならないです。我々は最善の道を選んだと確信しています。」

以下は市長のオペレーション担当副部長であるシェリル・ゴールドスタインによる追加のコメントです:

「連邦捜査局から身代金を支払わないようにとの忠告がありました。手元のデータによると、身代金を払っても盗まれたデータが戻ってくる確率は半々以下であり、また仮に払ったとしても、システムに入り、マルウェアがなくなっていることを確認しなければなりません。データが戻ったところで、マルウェアがなくなるとは考えにくいです。そのため、無駄にコストを負担してしまうことになりかねないのです。」

ランサムウェア攻撃によるボルチモアの被害は?

2019 年のボルチモア市に対するランサムウェア攻撃は約 1 か月間続き、復旧や新しいハードウェア、損失または繰延収益といった、サービス混乱の解決に最大 1,820 万ドルの費用がかかりました。この間、1 万人以上の市職員のうち 35% がアカウントへのアクセスを回復し - 翌月には 95% に達しました。

2018 年に発生したアトランタのランサムウェア攻撃と同様に、ボルチモアのランサムウェア攻撃は政府部門、公共事業、駐車場サービスに影響を及ぼし、すべて手作業で処理しなければなりませんでした。

ミッション クリティカルなサービスに多大な影響を及ぼした英国の NHS へのランサムウェア攻撃とは違い、ボルチモアの救急診療部は RobbinHood 攻撃による直接的な影響はなく、業務を継続することができました。しかし、ボルチモア市内の不動産市場は影響を受け、社員は 6 月末まで物件の売却を行うことができませんでした。

ボルチモア市は、約 15 か月の間に 2 回もランサムウェア攻撃を受けたとして非難を浴びましたが、再び攻撃が起こらないように防止策を導入しています。防止策の中には、ブランドン・スコット市議会議長の指揮のもと、サイバーセキュリティ委員会を新設することも含まれています。委員会では、堅牢な IT インフラストラクチャを構築するための新しいポリシー、プラクティス、テクノロジーの導入に向けて、市の脆弱性と攻撃への対応を徹底的に見直すことに取り組みました。

2020 年ボルチモア郡公立学校への攻撃

ボルチモア郡公立学校は、感謝祭の 2 日前、2020 年 11 月 24 日に 3 度目のランサムウェア攻撃の被害に遭いました。同市では過去に 2 度ランサムウェアの事件が話題となりましたが、膨大な機密データを保護するための対策が弱かったのです。すべての機密データと関連する学校のシステムが暗号化され、「ボルチモア郡公立学校システムのあらゆる面」に影響を及ぼしました。

既存データのバックアップをとっていたにもかかわらず、復旧費用は 800 万ドル超と推定されています。この攻撃で、9,000 台以上の職員のノートパソコンと生徒のデバイスがリイメージ(ハード ドライブの消去と新しいオペレーティング システムのインストール)されました。一部のデータや授業計画などは永久に失われてしまい、学校のネットワークも完全に再構築しなければなりませんでした。

この事件のせいで、COVID-19 のパンデミックにより必要とされていた、11 万 5,000 人もの生徒たちのリモート ラーニング機能に対し、広範囲に渡る支障が出ました。リモート ワークやハイブリッド ワークへの移行が長期的となって、エンドポイント数が増加し、サイバーセキュリティのリスクがさらに高まっています。

身代金が支払われたかどうかは未確認ですが、ボルチモア郡公立学校は以下のことについて約束しました。

  • IT インフラストラクチャの再構築と強化
  • 全職員への多要素認証(MFA)など、新しいプロセスの導入
  • 次世代ファイアウォールの導入とデバイスの保護の強化

しかし、2021 年、ボルチモア郡教師協会のシンディ・セクストン会長は、教育機関の給与システムを含む一部のシステムで混乱が解消されていない状態であり - 多くの職員に過払い、過少払いや日付違いの支払いがなされていることを指摘しました。

ボルチモアのランサムウェア攻撃から学べることとは?

身代金の額はサイバー攻撃からの復旧にかかった費用よりもはるかに少なかったが、ヤング市長は身代金を支払うべきではない理由を以下の通り簡潔に説明しました。

  • 今後、市にさらなるランサムウェア攻撃を仕掛ける恐れがあるため、ハッカーが犯罪行為で報わることがあってはならない
  • 金銭を支払ったとしても、システムや関連データのロック解除をするとは限らない

ボルチモアにおけるランサムウェア攻撃で、古くなったセキュリティ ソフトウェアや古い IT 習慣の危険性が浮き彫りになりました。ランサムウェアは、イメージの悪化はもちろんのこと、復旧に数千から数百万ドルの業務コストがかかる可能性があります。サイバーセキュリティ プロセスのアップデートを以下の通り積極的に行うことが肝要です。

ランサムウェア攻撃からのビジネスの保護はアバストにお任せ

ランサムウェア攻撃の脅威からビジネスを守り抜くために、基本的なセキュリティ対策を行ってください。Windows Server を保護し、脆弱性にパッチを適用して、ネットワーク全体の悪意のある行為を検知、防止することができるビジネス向けアンチウイルス ソフトウェアに投資してください。

閉じる

もうすぐ完了です!

ダウンロードしたファイルをクリックし、指示に従ってインストールを完了します。

ダウンロードを開始中...
注意:ダウンロードが自動的に始まらない場合はここをクリックしてください。