防衛ならびに通信市場向けの大手電子機器メーカーであるCPI(Communications & Power Industries)が、ランサムウェア攻撃を受けて業務に支障が生じている状態に置かれているというニュースをTechCrunchはつかんだ。事件を知る情報筋によれば、CPIは事件直後の1月中旬に約50万ドル(5300万円)の身代金を支払ったものの、業務はまだ完全には復旧していないとのことだ。
米国カリフォルニアに本拠を置くCPIは、レーダー、ミサイルシーカー、そして電子戦技術といった軍事用デバイスおよび機器に向けたコンポーネントを製造している。同社の顧客には、米国国防総省とその最先端研究組織DARPAも名前を連ねている。
同社はランサムウェア攻撃を受けたことを認めた。
「私たちは事件を調査するために、第三者であるフォレンジック調査企業と協力しています。調査は継続中です」と語るのはCPIの広報担当者であるAmanda Mogin(アマンダ・モギン)氏だ。「私たちは弁護士と協力して、法執行機関や政府当局はもちろん、お客様にもタイムリーに通知してきました」。
情報筋によれば、(ネットワーク上で最高レベルの権限を持つユーザーである)ドメイン管理者が、ログイン中に悪意のあるリンクをクリックしたために、ファイル暗号化マルウェアが起動されたのだという。数千台のコンピューターがセグメント化されていないネットワーク上の同じドメイン上にあったために、ランサムウェアはオンサイトのバックアップを含め、すべてのCPIオフィスに急速に広がったのだと情報筋は明かす。
また2月末の時点では、全社のコンピューターの約4分の1だけが、復旧し稼働しているに過ぎないため、同社は「パニックモード」であるとも伝えている。
人員不足が業務を妨げていると情報筋は語る。機密の軍事データを保持していたコンピューターの一部は、同社が身代金を支払って手に入れた復号キーを用いて回復することができた。そのうちの1つのシステムには、ロッキードマーチンが開発したイージス海軍兵器システムに関連するファイルも置かれていたと言われている。
ロッキードの広報担当者は「私たちはCPIの状況を知っていますし、サプライチェーンに関連した潜在的サイバー事故に対する弊社の標準的な対応プロセスに従っています」と説明する。
情報筋は、残りのコンピューターの多くはオペレーティングシステムをゼロからインストールし直していると語る。なおCPIのシステムの一部(約150台のコンピューター)は、いまでもWindows XPを運用している(XPは2014年にセキュリティパッチの配信が終了している)。
しかし、今回の攻撃にどのようなランサムウェアが使用されたかはわかっていない。CPIのスポークスマンは、私たちの質問には一切答えず、簡単な声明以上のコメントを拒否した。同社は、先月大企業を標的として相次いで行われた攻撃の最新の被害者となった。今週だけでも、法律サービスの巨人Epiq Globalがランサムウェアの攻撃によって業務に支障が出ており、またTeslaとSpaceXに部品を供給するVisserが、データを盗むDoppelPaymerと呼ばれる新しい種類のランサムウェアの攻撃に見舞われた。このマルウェアはファイルを暗号化するだけでなく、ハッカーのサーバーへ企業データを流出させるのだ。
DoppelPaymer攻撃を行ったハッカーたちは、会社が身代金を支払わなかったために、先週Visserの 内部ファイルの公開を始めた。セキュリティ会社のEmsisoftで脅威アナリストを務めるBrett Callow(ブレット・キャロウ氏)は、旧来のファイル暗号化ランサムウェアの戦術が変更されてきたと語る。
「これらの事件は、最初の段階から漏洩として考えられるべきであり、そのように開示され報告されるべきなのです」とキャロウ氏は語った。「企業や人びとが何も知らされないうちに、犯罪者たちはデータを悪用するための時間をたっぷりと手に入れつつあるのです」。
画像クレジット: Audrey Connolly (opens in a new window)/ Getty Images
[原文へ]
(翻訳:sako)