サイバー攻撃でコンピューター使用できなくなった米の郡、タイプライターで対応
2018年8月5日 23:00
米アラスカ州マタヌスカ-スシトナ郡政府がサイバー攻撃を受けてコンピューターが使用できなくなり、一時はタイプライターを持ち出して使ったり、手書きで伝票を切ったりといった対応に追われたそうだ(プレスリリース、続報、Mashableの記事、The Registerの記事)。 リポートによると、攻撃の始まりはトロイの木馬が送り込まれたことだ。侵入経路は電子メールの添付ファイルやリンクとみられている。トロイの木馬が活動を始めると、ユーザーのOutlook連絡先から他の政府とみられるアドレスに電子メールの拡散を開始。また、Active Directoryの管理者権限を取得すると、ドメインコントローラーの所有権を取得し、セキュリティレベルを低下させる設定をすべてのサーバーとワークステーションに適用していったという。侵入は早ければ5月3日に発生しており、発見されないまま休眠状態になっていたとみられる。 7月17日にWindows 7マシンで使用しているMcAfeeのアップデート後、このトロイの木馬が検出・削除対象となった。しかし、トロイの木馬以外のコンポーネントは検出できないままだったため、削除用のスクリプトを作成し、ユーザーパスワードの失効や管理者アカウントのパスワード変更などと合わせて実行したそうだ。ところが、この対策が攻撃者からの反撃を誘発し、500台のワークステーションほぼすべて、サーバー150台のうち120台がランサムウェアにより暗号化されてしまったとのこと。 ただし、このランサムウェアは身代金を目的としたものではなく、攻撃の隠ぺいを目的としたものとみられている。実際、身代金を支払っても解除キーが提供されることはなかったという。郡ではシステムの復旧を進めているが、バックアップサーバーやディザスターリカバリーサーバーも暗号化されてしまったため、利用できるのはオフラインの古いバックアップのようだ。そのため、FBIによる復号に望みをつないでいるとのことだ。