ガーミンの更新されたサービスは、同社がランサムウェア攻撃を受けたと報じられた後、復旧中であるようだが、本稿執筆時点では航空サービスはまだオフラインのままである。
様々なナビゲーションおよび位置情報追跡サービス・製品を展開する同社は、先週突然ダウンし、長期間にわたりオフライン状態が続きました。同社は今のところランサムウェアによる被害を公式に認めておらず、たまたま電話、メール、オンラインチャット、そしてすべてのサービスにも影響が出た「機能停止」と表現しています。
BleepingComputerは日曜日、ある企業従業員が感染の種類を正確に確認したと報じ、企業システム上のファイルが新しい、おそらくカスタムの拡張子「.garminwasted」で暗号化されたと付け加えた。また、情報筋によると、1,000万ドルの身代金が要求されたという。
ガーミンの大規模世界的障害でフィットネス愛好家が数時間困惑
続きを読む
この拡張機能は、ガーミンに対する標的型攻撃を示唆している。本稿執筆時点では、同社がどのように侵入されたかについての情報はなく、広報担当者は金曜日に最初に発表された声明文のみに言及している。
ガーミンがクラウドCRM企業Blackbaudの例に倣い、身代金を支払うのではないかという憶測がすぐに飛び交いましたが、責任ある企業は通常、そのようなことはしません。この憶測に対し、ランサムウェア復号ビジネスEmsisoftのブレット・キャロウ氏はThe Registerに対し、「WastedLockerはEvil Corpによるものとされているため、企業を潜在的に問題のある状況に陥らせる可能性があります」と述べています。
彼は、米国政府がロシアを拠点とする著名な犯罪組織であるEvil Corpに正式な制裁を課したという事実を指摘しました。Evil Corpは、以前はDridexという銀行マルウェアで有名でしたが、現在はEvil Corpに制裁を課しています。そのため、Evil Corpに賄賂を贈ることは、米国政府の通達に抵触する可能性があります。
セキュアワークスのドン・スミス氏は、「侵入後ランサムウェア」は「大企業から金銭をゆすり取るための非常に収益性が高く効果的な方法」だとコメントし、「ネットワーク侵入を考慮すると、侵入後ランサムウェアの『投資収益率』はサイバー犯罪者にとって魅力的な金儲けの手段となる」と語った。
情報セキュリティ企業F-Secureのマット・ローレンス氏も同意見で、次のように付け加えた。「すべての事件は独特ですが、当社の研究と調査に基づくと、人間が操作するランサムウェア攻撃は、通常、複数の検出経路をトリガーする単純な攻撃ベクトルを使用することが多いです。」
パイロットランプ
ガーミンのステータスページによると、ガーミンコネクトをはじめとする一般ユーザー向けアプリは徐々に復旧しつつあるものの、本稿執筆時点ではThe Registerは一部の航空サービスしか利用できない状態だった。パイロット向けアプリに関するガーミンの最新アップデートでは、「天気予報とルート案内サービスは利用できません」と表示され、パイロット向けの主要ウェブポータルであるFlyGarminはオフラインのままだった。ガーミンのパイロットデータサービスは依然として「部分的な障害」に見舞われているとのことだ。
Garmin は物理的な GPS ベースのナビゲーション ハードウェアを製造しており、最新の状態に保つためにデータの更新を提供しています。英国では、古いデジタル海図のみに頼って軽飛行機で飛行することは違法です。
しかし、ガーミンの航空サービスがオンラインに戻るまでの遅れは、他の理由ではなく、特定の復旧戦略の裏付けとなっている可能性がある。航空データは、国際民間航空機関(ICAO)が何年も前に定めたカレンダーに基づき、一定の間隔で厳密に更新されている。航空業界では航空情報規制管制(AIRAC)の「サイクル」と呼ばれる最新の更新は、ガーミンがランサムウェアに襲われた1週間弱前に公開された。AIRACサイクルの更新は34日前(昨年末までは28日前)に公開され、世界中の航空機運航者が更新を事前にインストールするための期間が与えられている。
次回のAIRAC(航空宇宙技術局)の納期は2011年サイクルで8月7日です。そのため、ガーミンは航空サービスをオンラインに復旧させ、次のサイクルの配信準備を整えるまで、数日間の猶予期間を確保できます。®
1700 GMT に追記しました
ガーミンは、7月23日に「サイバー攻撃」を受け、「一部のシステムが暗号化された」ことを確認しました。これはランサムウェア感染の可能性があります。この侵入の結果、「ウェブサイトの機能、カスタマーサポート、顧客向けアプリケーション、社内コミュニケーションなど、多くのオンラインサービスが中断されました」と、ガジェットメーカーは述べています。
同社は声明で、「ガーミンペイの支払い情報を含む顧客データがアクセスされたり、紛失したり、盗難されたりしたという兆候は確認されていません。また、オンラインサービスへのアクセスを除き、ガーミン製品の機能には影響はありませんでした」と述べた。
影響を受けたシステムは復旧作業を進めており、今後数日以内に通常業務に戻る予定です。今回の障害による業務や業績への重大な影響は想定していません。ただし、システムの復旧に伴い、未処理の情報の処理に遅延が生じることが予想されます。
一方、英国のスカイニュースは、ガーミンが直接金銭を支払ってはいないものの、WastedLockerランサムウェアによって暗号化されたファイルを復元するための復号キーを入手したと主張した。
