(画像クレジット: 画像クレジット: Pexels)
- アエロフロートの7月の障害は、開発会社Bakka Softを介したサプライチェーン攻撃だった可能性が高い
- 攻撃者は数カ月前から存在していた2FA(2要素認証)未導入のアクセスを悪用し、大量のマルウェアを展開してフライトを混乱させた
- 被害額は数千万ドル規模に達した一方で、The Bellの報告は未検証であり政治的にもデリケートな内容となっている
ロシアのフラッグキャリアであるアエロフロート航空に対するサイバー攻撃は、同社のITネットワークにアクセス権を持つ外部ソフトウェア開発会社を通じて行われたサプライチェーン攻撃だったとされている。
今年7月下旬、アエロフロートで同社の運航を混乱させたサイバーインシデントが発生し、数十便が欠航となったというニュースが報じられた。クレムリンはこの攻撃を認め、ハクティビストグループであるSilent CrowとCyberpartisansの2団体が犯行声明を出した。前者はウクライナのグループで、後者はベラルーシのグループだ。
現在、The Bellと呼ばれる現地メディアの記者たちは、この攻撃はBakka Softを通じて行われたと主張している。同社はモスクワ拠点のソフトウェア開発企業で、アエロフロートのiOSアプリや品質管理システムの開発を手掛けていた。記事は、調査に詳しい2人の関係者および同社に近い人物の証言を引用している。
数百万ドル規模の損害
報道によると、攻撃のおよそ半年前にあたる1月の時点で、アエロフロートのITインフラ上で「不審な活動」が確認されていたものの、同社はセキュリティを強化しなかったという。
その6カ月後、攻撃者は同じ脆弱性を通じて侵入し、20種類以上のマルウェアツールをインストールした。詳細はやや曖昧だが、報告によれば、同社は2要素認証(2FA)を導入しておらず、アエロフロートのインフラへのアクセス権を保持し続けていたため、攻撃者が永続的な足場を築くことを許してしまったという。
Bakka Softは自社システムが侵害されたことを認めておらず、ハクティビスト側もどのように侵入したかについては明かしたがらなかった。
このインシデントにより、100便を超えるフライトが欠航し、数万人の乗客が足止めされ、フライトキャンセルによる損失だけでも少なくとも330万ドルに達した。攻撃による総被害額は「数千万ドル」に上る可能性が高いとされる。
The Bellの報告は現時点では独立した検証が行われていない。また、このメディアは2017年にロシア人ジャーナリストによって設立された(The Recordによる)ものであり、ロシア政府から「外国のエージェント」に指定されていることも指摘しておく必要がある。
ロシアで「外国のエージェント」とラベリングされることは、その組織が海外から資金提供を受け、「政治活動」に関与していると政府が主張していることを意味する。実際にはこれは一種の烙印であり、団体はすべての出版物に警告文を付けなければならず、追加の報告書提出を義務付けられ、頻繁な検査を受け、多額の罰金リスクにもさらされる。この指定は主に、政府が好ましくないとみなすNGO、メディア、活動家に圧力をかけるために用いられている。
翻訳元: https://www.techradar.com/pro/security/russian-airline-hack-came-through-third-party-tech-vendor
