ランサムウェアの巻き添え被害

ランサムウェアが、本来の標的だけでなく、感染しそうに思えないデバイスにも感染した顕著な例の数々。

ランサムウェアに感染したATM、脅迫メッセージが表示された空港の運行状況案内板、Bitcoinでの支払いを要求する券売機…そんなものは都市伝説だと思う人もいるかもしれません。しかし、こうした情景は、ランサムウェアWannCryが世界的に大流行したときに人々が目にしたものでした。あれから3年。Kasperskyは5月12日を「アンチランサムウェアの日」と定め、インターポールと共に、このようなことが二度と起きないように備えをすることを呼びかけました。

決済端末がランサムウェアに感染するとは、誰が考えたでしょうか?そこからどんな見返りがあり得たというのでしょう?現実は、WannaCryを作成した人々が感染標的を明確に選ばなかったというのが本当のところです。WannaCryは普通のPCを通じてネットワークに入り込み、パッチの適用されていないSMBプロトコルの脆弱性を利用して、行き当たるデバイスに次々と感染していきました。その流れで、身代金に値するデータを持たないデバイスにも相当数感染したのです。そういったデバイスは、まさにとばっちりを食らった形となりました。

感染力はWannaCryほどではなくとも似たような性質のマルウェアは多数あり、やはり標的を明確に選ばないという共通点を持っています。そのため、攻撃者に金銭的な利益をもたらさないデバイスも、たびたびランサムウェアの餌食となってきました。今回の記事では、ランサムウェアに感染してしまった意外なデバイスの例を振り返りつつ、どれほどさまざまな業種が影響を受ける可能性があるかをご覧いただきたいと思います。

1.  医療機器

Forbesに掲載されたこの写真は、MRI画像の画質調整に使われ、造影剤の流れを追跡する医療用機器の画面です。MRIを使ったタイムリーな診断が患者にとってどれほど重要なことか、改めて説明するまでもありません。画像処理中に機器が止まってしまったら大ごとです。

2. 交通監視カメラ

交通違反の取り締まりに使われる監視カメラは、WannaCry流行のずっと前からサイバー攻撃の標的となってきました。ほとんどは不正アクセスまたは妨害工作です。しかし、オーストラリアのビクトリア州では、590人の交通法規違反者がWannaCryのおかげで罰金を払わないで済みました(英語記事)。ITNewsによると、監視カメラは感染後も通常どおり機能していたようです。しかし、セキュリティの侵害されたデバイスによって記録された交通違反の証拠をもって罰金を徴収することはしない、と警察が判断したのでした。

3. ATM

WannaCryは世界各地のATMに感染しました(英語記事)。OSの再インストールによってATMの復旧はできましたが、多数のATMが感染したとあっては再インストールに時間がかかります。しかも、ATMは一般的に同一のネットワークに接続しており、同じ保護手段が適用されているため、1台が感染すると全部が感染します。ATM内の現金には影響がなかったものの、多くの銀行は自行のATMネットワークを再構築するために、また自行の評判を取り戻すために、大いに骨を折ることになりました。

4. 運行状況案内板

WannaCryは、空港や駅の運行状況案内板にも感染しました(英語記事)。案内板自体には価値ある情報が保管されているはずもなく、ここに感染しても身代金を得られる可能性はなさそうにもかかわらず。なのに、案内板の復旧にはお金も時間もかかります。また、駅や空港で案内板が機能していなかったら、大いに困るのは旅客です。マルウェアのせいで時間どおりに目的地に着けなかったら、誰がその責任を負うのでしょうか?

5. 屋外広告板

屋外に設置される広告板も、ランサムウェアの被害を受けました(英語記事)。通りすがりの人が放つ嫌味や、画面の修復または取り替えに派遣された人々のいらだちはさておき、一番の被害者は評判を大きく落とした広告会社です。結局のところ、広告板でクライアントの動画や広告を流すことで支払いを得ているのであって、身代金を要求するメッセージが広告板に表示されたままになっていればクライアントとの契約違反になります。また、感染してしまった広告会社の広告サービスを引き続き利用しようというクライアントの気持ちを損ねることにもなりかねません。

6. 駐車場の精算機

駐車場へ戻ってきたら精算機に身代金要求メッセージが表示されていた(英語記事)…そんな状況を想像してみてください。駐車料金が払えないということは、駐車場出口のバーが上がらないということです。しかし、一番の被害者は駐車場を運営する人です。駐車できない人や、駐車場を出られない人が怒りの矛先を向けるのは、運営会社にほかなりません。

7. 発券機

発券機もまた、影響を受けました。たとえばサンフランシスコでは、Mambaというランサムウェアの攻撃を受けたため、市営鉄道の発券機が2日間にわたって使用不能となりました。攻撃者は運営会社に対して7.3万ドルの身代金を要求しましたが、運営会社は(賢明にも)これを拒否。サンフランシスコ市交通局は、機械が復旧するまで地下鉄の無料開放を余儀なくされました。

実践的な備え

意図せずランサムウェアに感染してしまったデバイスが感染してしまったのは、主に、デバイスを運用する側が最新の保護ソリューションの導入やOSのタイムリーなアップデートが必要ないと判断していたことが理由でした。こうして見てきたとおり、これらデバイスが何らかのWindows OSが稼働していることの多いコンピューターであること、そのOSが持つ脆弱性を抱えていることを、多くの人は知らないのです。

自社でこの手の機器を使用している場合には、以下の対策を取ることをお勧めします。

  • これら機器を別のサブネットに移動して、その他コンピューターと切り離す
  • OSの修正プログラムをタイムリーなタイミングでインストールする
  • 適切な保護手段をインストールする

当社の製品ラインアップには、組み込み機器向けにITセキュリティ対策を提供する「Kaspersky Embedded Systems Security」という製品があります。Windowsベースの組み込み機器を対象としており、ATM、決済端末、その他類似のデバイスによく見られるハードウェアリソースに乏しい機器でも動作するよう設計されています。Kaspersky Embedded Systems Securityの評価版をご希望の場合は、こちらのお問い合わせフォームにて、お問い合わせください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?