ラトビアの林業会社、ランサムウェア攻撃から数週間経ってもシステム復旧作業を継続

ラトビアの国営林業会社LVMは木曜日、ランサムウェア攻撃により複数の社内サービスおよび顧客向けサービスが停止してから数週間が経過した現在も、ITシステムの復旧作業を続けていると明らかにしました

この攻撃は6月下旬に初めて公表され、同社のマッピングプラットフォームや狩猟用アプリケーション、さらに請負業者や顧客との情報交換に使用するシステムがオフラインになりました。ラトビア当局は、攻撃者が検知される前に1週間以上にわたり同社のネットワーク内に潜伏していた可能性が高いと述べています

LVMの最高技術責任者(CTO)であるMaris Kuzmins氏は今週初め、状況は安定しつつあるものの、業務を平常に戻すのは「かなり困難」だと地元メディアに語りました。同氏によると、サービス契約を結んでいる顧客の約3分の2が、現在も影響を受けたシステムにアクセスできない状態だといいます。

Kuzmins氏によれば、攻撃者は2年間アップデートされていなかったシステムの脆弱性を悪用したとのことですが、影響を受けたソフトウェアの詳細については明らかにしていません。同社はこれまでに、身代金要求は受けておらず、たとえ要求があったとしても支払いを拒否する方針であると述べています。

Latvijas Valsts Mezi(LVM)は、同国で最も収益性の高い国営企業の一つです。ラトビアの国有林の大部分を管理し、木材の伐採・販売を行うほか、公共のレクリエーション施設を維持管理し、地理情報およびマッピングサービスも提供しています。

ラトビアの国家サイバー緊急対応チーム(CERT.LV)は今回の侵入について、これまでにもNATOおよび欧州連合(EU)加盟国の企業や公的機関を標的にしてきた、金銭目的の海外ランサムウェアグループによるものだと断定しました。当局はこのグループを特定していません。

攻撃者は約44ギガバイトの窃取データをオンライン上に流出させましたが、調査担当者は、実際に公開された量よりもかなり多くの情報にアクセスしていたとみています。CERT.LVによると、流出したファイルには社内文書、メールのやり取り、ソフトウェアのコードリポジトリ、デジタル証明書、暗号鍵、ユーザー認証情報が含まれているとのことです。

選挙インフラは別系統

今回の攻撃は、LVMがラトビアの電子有権者登録システム向けに新機能の開発を支援していたことから、特に注目を集めることになりました。このシステムは有権者がどの投票所でも投票できるようにするものです。

ラトビア当局によると、このソフトウェアは別個の環境で開発されており、そのコードがLVMの社内リポジトリに保存されたことは一切なかったため、選挙インフラは侵害されていないとのことです。CERT.LVは、同プロジェクトのために行われたソフトウェアの納品をすべて精査した結果、悪意のあるコードや不正アクセスの痕跡は見つからなかったと述べ、来たる議会選挙で同システムを安全に使用できると結論付けました。

CERT.LVによると、同じ脅威アクターがラトビアの製薬会社Olpha(旧Olainfarm)のサーバーも侵害していたとのことです。Olphaの侵害についてはすでに封じ込めが完了しており、現時点で影響を受けたサーバー以外への被害拡大を示す証拠は確認されていません。

当局は、この2件の侵害は同一の脅威アクターによるものとされているものの、技術的には無関係であると説明しています。

CERT.LVによると、今回の事件の背後にいるグループは「ラトビアのサイバー空間における活動を継続しており、官民組織のインフラにおける新たな潜在的脆弱性を意図的に探し続けている」とのことです。

翻訳元: https://therecord.media/latvia-state-owned-foresty-company-lvm-ransomware

ソース: therecord.media