GPS機器やフィットネス端末で知られるガーミンがハッカーによるランサムウェア攻撃を受け、7月23日(米国時間)から同社の多くのサーヴィスがダウンした。ランサムウェア攻撃とは、標的とするシステムのプロセスを停止させてデータを暗号化し、解除のための身代金を求めてくる攻撃手法だ。
これにより、ユーザーの活動データを同期するクラウドプラットフォーム「Garmin Connect」は、Garmin.comの一部とともにアクセス不能に陥った。スポーツ選手たちがランニングやワークアウトを記録できなくなっただけではない。時を同じくして、航空機に搭載されたガーミン製品で位置情報やナヴィゲーション、タイミングサーヴィスを利用するパイロットたちが、問題への対応に追われることになったのだ。
ガーミンのパイロット向けアプリ「flyGarmin」と「Garmin Pilot」は、ともに数日にわたって使用不能になった。さらにフライトプラン(飛行計画)のシステムや、航空機に搭載が義務づけられている米連邦航空局(FAA)の航空データベースを更新する機能など、ガーミンによる航空システムの一部に障害が発生した。
ガーミンは問題の原因がサイバー攻撃であることを、27日になって初めて認めている。同社では社内の電子メールシステムやカスタマーコールセンターも攻撃を受け、障害が発生した(週末はガーミンの広報担当者からエラーメールが返送されたり、電話がつながらなかったりした)。一部の報道によると、ガーミンの船舶用GPSアプリ「ActiveCaptain」でも障害が発生したという。
パイロットに広がった混乱
ガーミンのサーヴィスは、障害が始まってから4日後の27日に復旧し始めた。今回の事態は、ランサムウェアが継続的に業界全体に対してもたらす差し迫った脅威、特に何百万人もの人々が利用しているサーヴィスが妨害されるリスクを浮き彫りにしている。
ガーミンは27日に公表したコメントで、「Garmin Pay」の支払い情報を含む顧客データへの不正アクセスや紛失、窃取の兆候はなかったと説明している。同社は位置情報、ナヴィゲーション、タイミングサーヴィスへの具体的な影響について、『WIRED』US版の取材に回答していない。
Garmin AviationのTwitterアカウントは23日、「障害の発生によってGarmin Pilotアプリに影響が出ており、フライトプランの申請など一部のサーヴィスが利用できなくなる可能性があります」と投稿している。このアカウントは27日になって、次のような最新情報をツイートしている。「flyGarminやGarmin Pilotなど、最近の障害の影響を受けたシステムやサーヴィスの多くは復旧しつつあります。データの処理が完了するまで、一時的に制限がかかっている機能もあります」
ソーシャルメディアや航空関連のフォーラムでは、大勢のパイロットがガーミンの障害で引き起こされた問題への対処に追われたことを報告している。その多くは、フライトの計画やスケジューリングへの支障を指摘していた。
また、ガーミンのナヴィゲーションシステムのデータベース更新をダウンロードできないという声が上がっている。これは大きな問題になる。というのも、飛行機の離陸前にはデータベースを更新するようFAAが義務づけているからだ。このデータの更新は1カ月に1度ある。最新版は7月16日にリリースされていたことから、今回の問題発生前に多くの飛行機にダウンロードされていた。
これはガーミンにとって幸運なことだった。なお、パイロットはガーミン以外からも更新をダウンロードすることができるが、そのためには別のプラットフォームと契約する必要がある。
飛べなくなった飛行機
このような混乱は、単なる理論上のものだけではなかった。
「わたしのフライトスクールでの最大の問題は、すべての飛行機にナヴィゲーション用に搭載されている『Garmin GNS 430』のデータベースを更新できないことです」と、コロラド州のフライトスクール「Front Range Flight School」のインストラクターのタレン・スタントンは語る。「最新のデータに更新しておかないと、こうした機器のナヴィゲーション機能を用いた飛行が法的にできなくなります。おかげで保有する機体のひとつが、一時的に飛行できなくなってしまいました」
パイロットは飛行計画とナヴィゲーションシステムのバックアップとして、タブレット端末のアプリを使うこともある。しかし、Garmin Pilotの利用者は、こうした“保険”を準備していなかっただろう。
「こうしたユーザーは、iPadで飛行計画を提出するなどのサーヴィスを利用できなくなりました」と、スタントンは言う。「提出するにはFAAのウェブサイトにアクセスするか、連絡先に電話して申請しなければなりません。これは大きな負担です」
広がるランサムウェア攻撃
ランサムウェア攻撃の標的は、石油精製所やガスパイプライン、電力網から病院に至るまで、産業用制御システムや重要なインフラにまで広がっている。17年に世界を席巻した破壊的なマルウェア「NotPetya」のように、ランサムウェアを装って注意をそらさせることもある。
たいていの場合、攻撃者は犯罪者であり、システムがダウンしたときに最も失うものが大きい被害者に付け込もうとする。システムを復旧させるためにお金を支払う可能性が最も高いからだ。
「この種の攻撃には、もう驚かなくなりました。わたしたちはもう何年もランサムウェアについて注意を呼びかけてきました。予想通り、ランサムウェアの攻撃力は日に日に高まっています」と、サイバーセキュリティ企業Malwarebytesのマルウェアインテリジェンス担当ディレクター、アダム・クジャワは語る。
「攻撃によって、フォールバック[編註:機能などを限定して利用可能な状態を維持すること]の機構やバックアップシステムを一切保有していない企業が浮き彫りになります。そうなると、復旧計画が適切に策定されているのかユーザーや顧客、投資家が不安に思い、信頼に傷が付くことになります」
ロシアのハッキング集団が関与?
複数の報道によると、ガーミンが狙われたランサムウェア攻撃には、ロシアのハッキング犯罪集団「Evil Corp」と関連する比較的新しいランサムウェア「WastedLocker」が使われたとみられている。だからといって、Evil Corp自身がガーミンを標的にしたとは限らない。
犯罪目的のハッカーの間では、ランサムウェア攻撃の“請け負い”が一般的になっている。だが、Evil Corpのリーダーとされるマクシム・ヤクベツは、10年以上に及ぶ組織のランサムウェア攻撃の数々を通じて数億ドルの窃取に関与した容疑で、19年11月に司法省に起訴されている。
また12月の初めには、財務省がヤクベツを筆頭とする特定のメンバーを含め、Evil Corpに制裁措置を科している。このため米国に拠点を置く企業が直に“身代金”を支払うと、違法行為となる可能性がある。ただし、仲介業者を介して身代金を支払う余地は残されている。
浮き彫りになった攻撃の影響度
ガーミンの航空機向けサーヴィスは復旧しており、パイロットは安心してデータベースの更新や飛行計画の提出ができるようになった。ランニングなどのアクティヴィティディータはガーミン製のスマートウォッチに常に保存されており、復旧したことでGarmin Connectと同期できるようになった。ただし、同期されていなかったデータを処理するために、多少の遅延が発生する可能性があるとガーミンは注意を促している。
事件が解決に近づくにつれ、ランサムウェアへの対応ができていない組織がいかに素早くかつ完全に叩きのめされるのか明らかになりつつある。いずれにしても、ランサムウェアが世界中の交通機関をさらにまひさせなかったことは不幸中の幸いだろう。
「こうしたマルウェアについては不安に思います」と、Front Range Flight Schoolのスタントンは語る。「生徒たちには二重のバックアップを用意するようにと教えています。物事が失敗することを想定して計画を立てるのが普通ですが、それでも恐怖心はぬぐえません。こんなことがガーミンのような企業で、いとも簡単に起きてしまうとは驚きました」
※『WIRED』によるハッキングの関連記事はこちら。
SERIES
インターネットを救ったハッカー、マーカス・ハッチンスの告白(1)序章
TEXT BY LILY HAY NEWMAN