Garminのアップロード情報が閲覧できない(2020年7月25日時点)
私の日常生活において非常に困った事件が発生してしまいました…
それがスポーツおよびフィットネステック大手のGarmin(ガーミン)社のシステムダウンです。
私はCOVID-19の影響を受け2020年4月より在宅ワーク中心の勤務形態に変わったことを契機に、学生の頃達成したフルマラソンのサブ4をもう一度達成したいというモチベーションで月間最低150kmを目標にランニング継続中であり、この全記録をランニングウォッチからGarminに蓄積しております。
7/23のお昼ごろから専用アプリにてサーバメンテナンス中の表示が…
珍しい時間にメンテナンスするんだな~程度に思ってましたが、夜になっても翌朝になってもメンテナンス中のまま…
何かおかしいぞ?と思い、Web検索してみると、なんとランサムウェアによるサイバー攻撃を受けてる!!
直近EDRに関する記事も書いている通り、セキュリティに対するアンテナが高めだったこともあり、今回Garmin社が標的となったWastedLockerというランサムウェアについて簡単に整理してみます。
なぜGarminが標的に?
2020年7月23日が何の日だったか、皆さんご存知でしょうか?
そう!
COVID-19が猛威を振るっていなければ東京オリンピックの開会式の日です!
仮に現在東京オリンピックが開催中だった場合、Garminが使用不能になることによるアスリートへの影響は甚大なものがあったことが予測され、Garmin社は解読鍵を入手するために必要な大金を支払わざるをえない状況に追い込まれるだろう、というハッカー側の目論見があったのでは?という憶測もあるようです。
WastedLockerの話
攻撃者は?
Evil Corpと名乗っているサイバー犯罪集団。
現在も猛威を振るっている「Dridex」や「Bitpaymer」といったランサムウェアを利用して、様々な国の銀行や金融機関から1億ドル以上を身代金として盗んだと言われている。
どんなウイルス?
2020年4月頃に攻撃が報告されているランサムウェアで感染時に企業データを暗号化し(WastedLockerという名前は暗号化時に「wasted」の文字列が付与されることに起因する)、暗号化されたファイルごとに下記のようなファイル名に「_info」が追加されたファイルが作成され、身代金が要求される。
WastedLocker Ransomware: Abusing ADS and NTFS File Attributes
Evil Corp’s WastedLocker Demanding Millions of Dollars for Decryption
侵入の仕方は?
WastedLockerのマルウェアプログラムの実行における初動は標的型メールといった原始的な手段のようである。
キーとなる攻撃技術要素としてはSocGholishとCobaltStrikeが挙げられる。
- SocGholish:JavaScriptベースのフレームワークで、システムまたはソフトウェアの更新を装い、不正プログラムの実行する
- CobaltStrike:Lateral Movement Framework(水平移動フレームワーク)の一種。NW内の接続端末にマルウェア感染を拡げる
防ぎ方は?
標的型攻撃に対する対策としては以下のようなことが挙げられる。
- 疑わしいメールに対するNW境界防御
- OSやアプリケーションの脆弱性対策
- ウイルス対策ソフトの最新化
- 社員に対する訓練
だが、近年高度化している標的型攻撃に対して完全な対策を講じることは難しい。
そこで感染することを前提として、早期に検知/対処するソリューションとして、EDR製品が有効となる。
また、基本的なことではなるが、万が一攻撃を受けデータが暗号化されてしまったとした際に、別NWにデータバックアップを取得することもサービス復旧の観点で重要である。
まとめ
DX化が進む中、高度化したサイバー攻撃に対して、なんとなくのセキュリティ対策ではなく、どのような攻撃があるのかを知っておくことは重要である。必要に応じたセキュリティ対策を提案できるよう最低限の知識を身に付けておきたい。
今月の月間走行距離が分かるよう、Garminが早く復旧しますように…