週間情報通信ニュースインデックスno.1330 2022/6/4


1.サーバーがランサムウエアに感染、復旧が長期化した原因とは(6.3 日経XTEC)
秋田県建設・工業技術センターがランサムウエアの被害に遭った。業務サーバーのデータが暗号化され、一時、業務がほぼできなくなった。バックアップも攻撃を受けたため、通常業務の復旧は長期化した。サイバー攻撃を想定したBCP(事業継続計画)が無いなど、対策に不備があった。紙やCDからデータを復元する方針であり、業務への影響は長引きそうだ。

 「(ベンダーに)お願いしているから大丈夫だとの意識があった。サイバー攻撃は増えているのに、自分たちで主体的に情報を収集し、防御策を講じる姿勢が不足していた」。秋田県建設・工業技術センターの船木諭理事兼総務企画部長はこう反省する。同センターは秋田県や県内市町村などに対し、建設・土木工事に関する技術支援を提供する一般財団法人である。

 秋田県建設・工業技術センターは2022年4月12日、サーバーが外部からの不正アクセスによりロックされたと発表した。センター内の業務用サーバーがランサムウエア(身代金要求型ウイルス)に感染し、データが暗号化された結果、同日朝から業務のほとんどができなくなった。1カ月半が経過した5月末時点でも完全復旧には至らず、業務を継続しながら復旧作業を続けている。

 職員が異変に気付いたのは、4月12日午前7時。出勤してパソコンを使い始めたところ、出勤時刻を登録する勤怠システムが利用できなかった。社内ネットワークを管理する職員が「サーバーに異変があったのではないか」と考え、サーバーの管理画面を確認しようとした。しかし何度パスワードを入力しても、サーバーにログインできなかった。別の職員がプリンターの電源を入れたところ、何かが印刷されたA3用紙が次々と排出され止まらなくなった。プリンターの電源を落として紙を確認したところ、そこにはURLとともに英文でこう書かれていた。

 「ファイルを暗号化した。解除したければ、このサイトにアクセスして身代金を払え」

 4月12日午前、報告を受けた佐藤和義理事長は「身代金は支払わない」との決断を下した。同センターの顧客は自治体であり、身代金を払うとすればその原資は税金となる。サイバー犯罪集団に資金は渡せないと考えた。

 ランサムウエアによって、6台あるサーバーは全てデータが暗号化された。共用の作業用パソコン2台は電源が入ったままだったため、ウイルスが侵入した。同センターには3人の常勤役員と52人の職員がいる。役職員に支給し、各自の業務で使用していたパソコンもウイルス感染が疑われるため、使用を取りやめた。同センターはすぐにネットワーク回線も遮断した。これによってメールも見られなくなった。

 秋田県警に通報するとともに、県建設部と相談し、4月12日午後にウイルス感染の事実を公表した。4月26日にはWebサイトに「メール等が使用できない状況に関するご報告とお詫び」を掲載した。そこには「当面は電話かファクシミリでご連絡くださいますよう、お願い申し上げます」とあった。

2.バッファローが法人無線APのゼロタッチデプロイ提供、ネットにつなぐだけで利用開始(6.2 日経XTEC)
バッファローは2022年6月2日、企業向け無線アクセスポイント(AP)向けのゼロタッチデプロイサービス「キキNavi クラウドゼロタッチ」を提供予定であると発表した。提供開始時期について同社は「今冬」としている。

 同サービスを利用するとバッファローが発送したAPが利用企業に到着した際、インターネットにつなげれば現地での設定作業なしで利用開始できる。これまでは設置前にネットワークベンダーや企業の情報システム部門が、APに各企業の個別設定をインストールする必要があった。

 ゼロタッチデプロイとは、パソコンやネットワーク機器などの利用企業ごとの個別設定をインターネット経由で自動インストールする仕組みである。利用企業は機器メーカーのクラウドサービスなどに、各機器の設定を事前に登録しておく。既に米Apple(アップル)の機器を企業内に展開する際などに、広く使われている。

3.iPhoneは電源オフにしても「眠らない」、居場所は分かるしマルウエアも動き続ける(6.1 日経XTEC)
機器の動作を確実に止める方法は、電源をオフにすることだ。だがオフにしても一部の機能は有効なままの機器がある。その1つがiPhoneである。例えばiOS 15以降では、電源をオフにしても24時間以内なら「探す」機能が有効だ。別の機器を使えば、電源がオフになったiPhoneの現在地を確認できる。

 だがユーザーのほとんどは、電源をオフにすれば全ての機能が停止していると思っているだろう。電源をオフにしても一部の機能が有効なことで、今までにはなかったような脅威(セキュリティーリスク)は発生しないのだろうか――。ドイツのダルムシュタット工科大学の研究者グループはこの問題に挑んだ。

 研究者グループは公開されていない仕様を調べ上げるとともに実験を繰り返した。その結果、電源をオフにしても感染し続けるマルウエア(悪意のあるプログラム)をつくれることが分かったという。

 研究者グループによれば、iPhoneの電源をオフにすればiOSは停止するが、iPhoneの機種やiOSのバージョンによってはNear Field Communication(NFC)、Ultra Wide Band(UWB)、Bluetooth Low Energy(BLE)それぞれの通信機能は有効なままだという。電源オフでもそれぞれの機能を実現する部品(チップ)には電力が供給され続け、低電力モード(LPM:Low-Power Mode)で動作し続ける。

 iPhoneの「探す」機能はBLEを利用している。このため電源をオフにしても「探す」の対象であり続ける。盗難対策の強化と位置づけられ、iPhoneを盗んだ犯人が電源をオフにしても24時間は追跡可能だ。

 ただ、ファームウエアの改ざんには大きな壁がある。iOSを乗っ取る必要があるのだ。脆弱性を突くなどしてiOSの制限を取り除き、本来は許されていない操作を可能にしなければならない。いわゆる脱獄(ジェイルブレイク)である。iOS 15での脱獄は困難なため、研究者グループは脱獄可能なiOSで検証した。

 以上をまとめると、iPhoneの電源をオフにしても動き続けるマルウエアをつくるのは可能だが、感染させるには対象ユーザーのiPhoneを入手して脱獄する必要がある。ものすごく手間だしコストがかかりそうだ。

 ホームページへ