マサチューセッツ州ニューベッドフォード市は、防御力を強化し、バックアップから復元し、システムを再構築することで、身代金を支払わずにランサムウェアに対処する方法を見つけました。
ジョン・ミッチェル市長は水曜日の記者会見で、アメリカの都市のシステムへの攻撃は、職員が7月4日の祝日から戻った後に異常なネットワーク活動に気付き、7月5日に特定されたと説明した。
「市のサービスにはまったく支障がない」とミッチェル氏は語った。
市の経営情報システム(MIS)スタッフは、高度なランサムウェアであるファイル暗号化型ランサムウェア「RYUK nasty」の存在を特定し、迅速な対応でその影響を最小限に抑えることに成功しました。
漫画「デスノート」の登場人物にちなんで名付けられたと思われる RYUK は、ネットワーク ドライブを見つけて暗号化したり、ボリューム スナップショットを削除して、外部バックアップがない場合に Windows システムの復元が使用されないようにしたりすることができます。
このマルウェアは標的のシステム上のデータをロックし、おそらくキャプチャしたデータのロックを解除できる復号キーを受け取る条件としてビットコインでの支払いを要求します。
ミッチェル氏によると、感染の背後にいる者たちはニューベッドフォードのファイルを公開するためにビットコインで530万ドルを要求した。政府、教育、民間部門の組織に対するランサムウェアの発生は、少なくとも需要の面ではより一般的となり、より高額になっているが、支払いの面では必ずしもそうではないと同氏は述べた。
先月、テキサス州では23の町が組織的なランサムウェア攻撃を受けました。半数以上の町は通常の業務に戻っているとされ、テキサス州当局は身代金が支払われたという認識はないと主張しています。
530万ドルの支払いを望まなかったミッチェル氏は、市が利用できるサイバー保険の保険金に基づき、40万ドルで対抗提案したと述べた。サイバー犯罪者は申し出を断り、市は交渉を継続し、ITスタッフが可能な限り防御を強化し、バックアップからファイルを復元するために必要な時間を稼いだ。
必ずしもうまくいくとは限らない。ジョージア州アトランタでは5万ドルの身代金要求を拒否し、サービス復旧に1800万ドルを費やしたとミッチェル氏は述べた。ニューベッドフォードでは身代金は支払われなかったが、ミッチェル氏はMIS(情報システム)の人員配置に関してさらなるコストが発生すると予想している。
ミッチェル氏は、感染の影響が比較的軽微だったのは、運と技術、そして市の IT アーキテクチャのおかげだと考えている。
ランサムウェア攻撃者は「スプレーして祈る」から「獲物を殺害する」へと移行した
続きを読む
幸運なことに、マルウェアの侵入が7月4日の祝日に始まったという事実が関係しています。祝日や週末はITスタッフが不足し、警戒心も薄れる傾向があるため、ランサムウェア攻撃が頻繁に発生するようです。しかし、今回のケースでは祝日だったため、市内の多くのデスクトップPCの電源がオフになっていたため、ランサムウェアの拡散が抑制されました。
ミッチェル氏によると、7月5日の朝にMISスタッフが防御的にシステムを切断する迅速な行動をとったことで、感染の影響を軽減することができたという。
ITアーキテクチャの観点から見ると、システムの区分化により、ソフトウェアの不正侵入範囲はさらに限定的でした。警察、救急サービス、学校システム、上下水処理施設、ごみ処理・リサイクルサービスは影響を受けませんでした。ミッチェル氏によると、市職員が使用する3,500台以上のコンピューターのうち、侵害を受けたのはわずか158台、つまり4%でした。
しかし、ミッチェル氏は、こうしたセキュリティ上の懸念は今後も続くだろうと明言した。「現実には、自治体、企業、そして個人は、世界各地で活動するサイバー犯罪者と熾烈な競争を繰り広げている」と述べ、先週末にはマサチューセッツ州チャールトンがサイバー攻撃を受けたことを指摘した。「ウイルス対策技術のあらゆる進歩は、犯罪者がその回避策を見つけ出すまでは有効だ」®
