ランサムウェア被害で5400万円の身代金を支払ったアメリカの自治体が市のIT責任者1名を解雇

by TheDigitalArtist

アメリカのフロリダ州にあるレイクシティ市は2019年6月24日、市のほぼ全システムを完全に乗っ取ったランサムウェアの攻撃者に対し、50万ドル(約5400万円)の身代金を支払うことを決定。その後、6月28日に当局は市のIT担当者1名を解雇したと発表しました。

A City Paid a Hefty Ransom to Hackers. But Its Pains Are Far From Over. - The New York Times
https://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html

UPDATE: Lake City fires employee after paying ransom in malware attack
https://www.wcjb.com/content/news/City-of-Lake-City-moves-Forward-after-Cyber-Attack-511802711.html

Florida city fires IT employee after paying ransom demand last week | ZDNet
https://www.zdnet.com/article/florida-city-fires-it-employee-after-paying-ransom-demand-last-week/

レイクシティはフロリダ州北部にある人口1万2000人ほどの小さな町です。大規模なハッキングの被害の発端は2019年6月6日に市の行政システムが一時停止したのち、再起動したことですが、この時は大きな被害は確認されていませんでした。

市当局が本格的な攻撃に気づいたのは6月10日の午前7時30分のこと。市の情報技術者がサーバーでファイルを開こうとしても、「このファイルを開く方法を選んでください」というWindowsのメッセージが表示されるだけでファイルを開くことができませんでした。そして、これに続いて「balance of shadow universe」という謎のメッセージが表示されたウィンドウが展開。これがランサムウェアによる攻撃だと気づいた技術者は、PCを使用中の全職員に対してネットワークケーブルと電源ケーブルを全て抜くよう指示しましたが、この時には既にランサムウェア「Ryuk」によって行政システムの全ファイルが暗号化されていました。

以下のツイートに添付されている画像は実際にRyukに感染したPC画面のスクリーンショットです。スクリーンショットを見ると、謎のメッセージとともに連絡先らしきメールアドレスが記載されたRyukのウィンドウや、暗号化されて「.RYK」という拡張子のファイルに置き換わってしまっているファイルなどの様子が分かります。

行政システムがハッキングされたのは「Triple threat」という攻撃手法によるもの。市職員が市に送られてきたメールのリンクを開いたところ、リンク先からダウンロードされたトロイの木馬型マルウェア「Emotet」が市のネットワークに感染。このEmotetがシステムに接続されたPCにランサムウェア「Ryuk」をインストールさせ、PC内のあらゆるファイルが暗号化されてしまったそうです。

この攻撃により、レイクシティの行政システム内にあった合計16TBのデータがロックされ、ほぼ全てのサーバー・電話・電子メールがダウンする事態に陥りました。システムが使えなくなったため、メールや電話による業務連絡はすべて市職員個人の携帯電話やスマートフォンで行い、文書は全て紙に印刷してから市職員が車で運ぶことになりました。もちろん市民も被害を受けており、水道やガス料金の支払いは全て現金か小切手で行わなくてはなりませんでした。ハッキング被害を免れたのは、行政システムとは別のサーバーで運用されていた警察署と消防署のシステムだけだったとのこと。

被害発生から1週間後には犯人から身代金の要求がありましたが、その金額が法外なものだったことから、市当局は当初支払いを拒否していました。しかし、市の技術者がどれほど手を尽くしてもシステム復旧のめどが立たず、市はやむを得ず身代金の支払いに応じることを決定。6月24日には緊急召集された市議会により身代金の支払いが可決し、翌日には、約50万ドル相当の42ビットコインが身代金として犯人に支払われました。支払いから間もなく、犯人から市に対して暗号化されたファイルの復元キーが送信されたとのこと。

by duallogic

実際の支払いはレイクシティが加盟していた「Florida League of Cities(フロリダ州市町村連盟)」の保険により賄われるため、レイクシティの負担は1万ドル(約108万円)。それでも、およそ3週間にわたり「1950年代のよう」と形容されるほど事務手続きが滞り、市政と市民への被害は甚大なものとなりました。しかも、システムの一部は記事作成現在も完全には復旧していないとのことです。

また、レイクシティの市政代行官であるジョセフ・ヘルフェンベルガー氏は7月に入り「6月28日付けで市職員を1名解雇した」と発表しました。報道によると、解雇されたのはレイクシティでIT責任者を務めていたBrian Hawkins氏だとのことですが、同氏が被害発生の経緯やその後の対策にどのように関与していたかは不明です。

アメリカでは最近同様の被害が急増しており、5月にはメリーランド州ボルチモア市が「RobinHood」というランサムウェアの攻撃により、およそ1800万ドル(約19億5000万円)の被害を受けたほか、6月21日にはレイクシティと同じフロリダ州のリビエラビーチ市がランサムウェア攻撃の犯人に対して約74万ドル(約8000万円)相当の65ビットコインを支払っています。

ボルチモア市のランサムウェア被害の詳細は以下の記事を読むとよく分かります。

ランサムウェア「RobbinHood」により市役所のサーバーの大部分がダウン - GIGAZINE

また、6月23日にはフロリダ州・キービスケイン村が、フロリダ州の自治体ではレイクシティに続き3つ目となるサイバー攻撃の被害により、26日までシステムダウンしたことも明らかになっています。

FBIのサイバー部門で監督特別捜査官を務めるアダム・ローソン氏はニューヨーク・タイムズ紙のインタビューに対し、「ランサムウェアの被害者は身代金を支払うべきではない、というのがFBI当局の正式な見解です」と述べています。その一方で、レイセオンの諜報・情報・サービス部門で最高技術責任者を務めるマーク・オーランド氏は「ランサムウェアの被害を受けた自治体が『身代金を支払わない』というポリシーを貫くことは非現実的です」と語り、一度感染してしまうと身代金を支払う以外の選択肢がなくなるという、ランサムウェア対策の困難さを改めて指摘していました。