イギリスの捜査当局は、ヨーロッパ全土でフライトの遅延が続いているとされるランサムウェア攻撃に関連して、男性を逮捕しました。
イギリス国家犯罪対策庁(NCA)は、昨日午後に発表した簡単な声明でこのニュースを明らかにしました。
「NCAの捜査官は、南東地方組織犯罪対策部(ROCU)の支援を受け、昨日夕方、ウェストサセックスで40代の男性をコンピュータ不正使用法違反の疑いで逮捕しました。彼は条件付きで保釈されています」と声明は述べています。
NCA副局長で同庁サイバー犯罪対策部門の責任者であるポール・フォスター氏は、捜査はまだ初期段階にあると述べました。
「サイバー犯罪は、英国に重大な混乱をもたらし続ける持続的な世界的脅威です。NCAは、国内外のパートナーと協力し、英国市民を守るためにこの脅威の低減に取り組んでいます」と彼は付け加えました。
コリンズ・エアロスペースへの攻撃についてさらに読む:サプライチェーン攻撃後、空港の混乱が3日目に突入。
一方、米国企業コリンズ・エアロスペースへのサイバー攻撃がフライトの混乱を引き起こしている件について、セキュリティ専門家はHardBitランサムウェアの亜種が関与していると指摘しています。
著名なサイバーセキュリティ研究者のケビン・ボーモント氏は、情報源を明かさずに、自身のMastodonアカウントでこのニュースを伝え、「この亜種にはポータルがなく、非常に基本的なものだ」と述べました。
空港は9月19日夜から問題を報告し始め、土曜日と日曜日にかけて数百便が遅延・欠航となりました。問題は、複数の空港で複数の航空会社がチェックインカウンターや搭乗ゲートを共有するために使用しているARINC vMUSE(マルチユーザーシステム環境)ソフトウェアに起因していることが判明しました。
そのソフトウェアの開発元である米国企業コリンズ・エアロスペースは、MUSEを「サポートするシステム」でランサムウェアが確認されたことをSECへの提出書類で明らかにしました。
「MUSE空港システムはRTX企業ネットワークの外部で運用されており、顧客ごとの専用ネットワーク上に存在します」と同書類には記載されています。RTXはコリンズを所有する航空宇宙・防衛大手企業です。
「インシデントを検知後、当社はインシデント対応計画を発動し、迅速に評価、封じ込め、対応、復旧の措置を講じました。」
インシデント対応に問題発生
しかし、これらの措置は計画通りに進んでいないようです。
「デバイスが再感染し続けているため、復旧作業を再度やり直さなければならなくなっています。こんなインシデントは見たことがありません。NCSCのような組織が介入してインシデント対応を支援すべきです」とボーモント氏は述べています。「今回使われたペイロードは、10年以上前の静的AV検出を持つ無料のDefender AVで検出されます。これはランサムウェアグループによるサイバーメガ攻撃ではなく、極めてずさんなセキュリティ管理の結果です。」
その間、航空会社は乗客のチェックインや搭乗手続きを紙とペンで行わざるを得ず、ヒースロー、ブリュッセル、ベルリン・ブランデンブルクなど影響を受けた空港では遅延が続いています。
木曜朝時点で、これらの遅延時間はほとんどの空港で減少傾向にあるようです。ヒースローでは56%の便が遅れて出発し、平均遅延時間はわずか17分でした。ベルリンでは72%が遅れ、平均28分。ブリュッセルでは逆に遅延が増加し、今朝は80%の便が平均26分遅れています。
EUのセキュリティ機関Enisaは、今回のランサムウェア事件について、サードパーティのサプライヤーの侵害が原因だとしていますが、詳細は明らかにしていません。
「同社は、社内外のサイバーセキュリティ専門家の支援を受けて事件を精力的に調査しており、国内外の法執行機関および一部の政府機関に通知しています」とSEC提出書類は結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/nca-arrest-hardbit-ransomware/