この事件も日本のニュースでは、まだあまり取り上げられていないようなので、米国カリフォルニア州サクラメント市のRegional Transit(SacRT)がハッカーによる攻撃により30百万のファイルが削除され、ハッカーから1BTC(約8000ドル)の要求を受けた事件を書いてみます。
www.sacbee.com
インシデントタイムライン
| 日時 |
出来事
|
|
2017年11月18日18時
|
●ハッカーがSacRTのホームページ上に、「脆弱性を直すために手伝いたい」とのメッセージを置く (*3)
I’m sorry to modify the home page, i’m good hacker, i I just want to help you fix these vulnerability. This is one of the loopholes, modify the home page…. (*2)
|
|
2017年11月19日
|
●19日 ハッカーがRegional Transitの仮想サーバーのファイルを削除を開始
(全体の約30%、30百万ファイルを消去成功、データの持ち出しは確認されず)
●19日 ハッカーがFacebook経由で身代金(1BTC)の脅迫メッセージを送付
“hello, I will always attack your website, we are hackers. we can do everything. Pay us now to stop attacking.” (*1)
(ハッカーの要求にSacRTは返答せず)
□19日3:00 技術者がシステムに入り被害を確認し、全てのシステムをオフラインにし、
バックアップからシステム復旧を開始 (*2)
|
|
2017年11月20日
|
□Facebookにランサム攻撃の被害にあったことを発表 (*2)
|
◆キタきつねの所感
この事件ではマルウェアの詳細は発表されてませんので、記事からの推測となりますが、ハッカーは”あまり交渉上手では無い”ことから若いハッカーかと思われます。最近のハッカー攻撃の特徴は、まずは静かにシステムに入り込み、必要な情報はごっそり持ち出した後に、侵入に成功した企業へ金銭的交渉をするケースが多いのですが、この事件の場合、最初からホームページ改ざんをして、攻撃の初期段階から企業側の警戒を高めています。
事実、この件ではマルウェア感染を成功させておきながら、身代金を取るところまで至ってません。これはSacRT側が、毎日バックアップを取っていたのでハッカーの要求を(復旧時間が取れれば)突っぱねられたことも大きいかと思いますが、やはり防衛のシステム部門がいち早くシステムを止めて、被害を抑えられたのが勝因の1つです。
これが11/18のホームページ改ざんが仮に無かったとしたら、ここまで封じ込めがうまくいったかは疑問です。
いずれにせよ、地方(カリフォルニア州の州都)の交通システムへの攻撃ではありますが、日本の交通各社でも、このようなハッキング、マルウェア被害を受ける可能性はあるわけですから、日々の重要システムのバックアップ、緊急時にシステムを止めるシナリオ策定、侵入検知・防止(IDS/IPS)やWAF・・といった防御策などは、こうしたインシデントを想定して十分に考えておく必要があります。
関連ニュース記事
*1 Hackers attack Sacramento transit system and demand $8,000 ransom THE SACRAMENTO BEE
*2 Criminals Demanded $8K from Sacramento Regional Transit after Attack The State of Security
*3 Hacker targets Sacramento Regional Transit, deletes 30 million files in ransomware attack Foxnews
*4 狙われる市民の足 米サクラメントの交通機関システムがサイバー犯罪者に攻撃される The Zero one
更新履歴
- 2017年11月26日 AM 新規作成
- 2017年12月1日 PM 日本語記事が出ていたので追記
