米国GPS機器大手のガーミン（Garmin）社がWasteLockerランサムの被害に遭い、5日経過しても一部復旧に留まっている様です。

gigazine.net

 

アウトドア用途やスポーツ、フィットネスなどで利用するGPS機器やウェアラブル端末の大手メーカーとして知られるガーミン(Garmin)の提供するアプリ「Garmin Connect」をはじめとする全サービスで障害が発生、2020年7月23日から利用できない状態が続いています。原因は明かされていませんが、情報筋からはランサムウェアの攻撃を受けているとの話が出ています。

（Gigazine記事より引用）

 

公式発表

•  Garmin® issues statement on recent outage（7/27）　

 

キタきつねの所感

Garminのサービスは多岐にわたっており、スポーツやフィットネスで利用するウェアラブル端末でも有名ですが、GPS情報を使った航空サービスアプリ（パイロット向けにマップ、気象情報、飛行の自動ログや飛行計画作成等の機能）のGarmin Pilot等のサービスでも有名なメーカーです。

 

WasteLockerランサム被害を受けた事は、7/24にBleepingComputerが報じていました。ランサム拡大の予防措置も含まっているかと思いますが、7/23の時点で全てのサービスを止めた様です。

This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience. (2/2)

— Garmin (@Garmin) July 23, 2020

 

メールサーバも停止している様で、各メディアの要請に応え、Garminは7/27に公式発表を出しました。ここでようやく7/23にランサムの被害に遭った事を認めます。

 

この公式発表の中で重要だと思うのは、顧客情報や顧客の金融情報、あるいはプログラム等Garminの重要資産へ影響がなかった事ではなく、

Garmin Pay™からの支払い情報を含む顧客データへのアクセス、紛失、盗難の兆候はありません。さらに、Garmin製品の機能は、オンラインサービスにアクセスできること以外は影響を受けませんでした。

影響を受けるシステムは復元されており、数日以内に通常の運用に戻ると予想されます。

（公式発表より引用）※機械翻訳

 

「数日以内に通常の運用に戻る」と発表された部分です。

 

 

現在のGarminのサービス稼働状況を見ると記事を書いている時点で「全てサーバーダウン状態」（DOWN)と出てきます。昨日は限定的に稼働していたサーバーもある様ですが、現在は全て止まっている様に見えます。

ここに無いアプリで、昨日の稼働が記事に書かれていたのは、航空関係のアプリですが、こちらは監視下で限定稼働させている様です。恐らくユーザが限定的で、かつ停止の影響が大きいからかと思います。

 Garmin Pilot Apps：Operational
FlyGarmin：Operational
Connext Services：Operational
FltPlan.com：Operational

（BleepingComputer記事より引用）

 

こうして、ほぼシステム復旧がしてない時点で、「数日以内に復旧の目途がついている」となると、バックアップからの復旧ではないと見ても良いのかも知れません。

 

この点についてBBCは、当初1000万ドルだったと見られる身代金（ランサム）要求について、以下の様に書いていました。

大きな問題は、会社が恐喝に何百万ドルもの需要がありそうなものを支払ったかどうかです。

会社がサービスをオンラインに戻すために必要な復号化キーを何らかの方法で取得したようです。

（BBC記事より引用）※機械翻訳

 

Garminの公式発表では、ランサム被害を受けた事は発表していますが、どういったランサムだったのかを公表していません。また身代金を支払うかについても言及を避けています。裏で交渉している・・・そうした可能性は十分に考えられそうです。

※Evil Corpとして知られるハッカーグループによるWasteLockerランサムウェアを使った攻撃だったと推測されています。

 

世界的にユーザが多いGarminの今回のランサム被害は、ランサムに侵入されると一気に全てのオンラインサービスが1週間は止まってしまう可能性がある、その事を知らしめたとも言えます。オンラインサービスを多数展開する日本企業でも同様なリスクがあると思います。

 

実装面で考えると難しい事なのだと思いますが、ランサムが防ぎきれないリスクを考慮し、システム内部に侵入される事を前提に、サービス単位でセグメントを分けて、仮にランサム被害が発生しても、影響が一部サービスで止まる様にシステム構築を検討すべきなのではないでしょうか。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

• 2020年7月28日 AM