攻撃者は、両ウェブサイトに悪意のあるコードを仕込んだ。同空港のネットワークの外からウィンドウズベースのデバイスや同空港が管理していないデバイスを使い、インターネットエクスプローラー経由でウェブサイトにアクセスした人は、デバイスへのログイン情報が盗まれた可能性がある。
IT・サイバーセキュリティの支援サイト「ブリーピング・コンピュータ」は、今後危惧されるサイバー攻撃として、盗んだ情報をさらに悪用して関連企業の機密情報を盗むスパイ活動や、身代金要求型ウイルスによる業務妨害を指摘している。
サンフランシスコ国際空港は、問題把握後、ウェブサイトから悪意のあるコードを削除した。また、両ウェブサイトを一旦オフラインにし、同空港のメールとネットワークのパスワードすべてを3月23日にリセットしている。
空港は、上記の条件に当てはまる利用者に対し、デバイスにログインするためのパスワードを変更するよう促した。同じユーザー名とパスワードの組み合わせをほかでも使い回ししている場合、変更するよう求めている。
サイバー攻撃の背後にロシア政府か?
当初の報道では攻撃者の身元は不明であった。スロバキアのサイバーセキュリティ企業であるESET社は、問題発覚から1週間後の4月14日のツイートで、サンフランシスコ国際空港へのサイバー攻撃の手口がロシア政府系ハッカー集団の手口と一致していると指摘した。
ESET社によると、サイバー攻撃したと見られるのは、「エナージェティック・ベア(エネルギッシュな熊)」または「ドラゴンフライ(トンボ)」と呼ばれるハッカー集団である。同じハッカー集団であるにもかかわらず、複数の名前が使われている理由は、サイバーセキュリティ企業によって付ける名前が異なるからだ。
エナージェティック・ベアは、少なくとも2010年から活動を開始している。米サイバーセキュリティ企業のシマンテック(現ブロードコム)によると、当初はアメリカとカナダの軍事関連企業や航空会社を狙っていたが、2013年からアメリカやヨーロッパのエネルギー企業を攻撃するようになった。そのほかにも、製薬会社などから機密情報を盗んでいるといわれる。
米サイバーセキュリティ企業のクラウドストライクは、ロシアが国益上重要な分野で競争力を維持するために外国企業をサイバー攻撃で狙っているのではと考えている。2014年の報道では、日本も攻撃対象に入っていた。しかし、ロシア政府も、サイバー攻撃への関与を指摘されるたびに否定している。
北朝鮮からも新型コロナウイルスに乗じたサイバー攻撃が確認されている。例えば、北朝鮮の諜報機関「朝鮮人民軍偵察総局」は、韓国保健福祉省の疾病管理本部を装い、新型コロナウイルス感染者について調査するよう依頼する文書を添付メールで送っていた。しかも、わざわざ韓国で普及している文書ファイルのHWPを用いていた。添付ファイルを開くと、コンピュータウイルスに感染する仕組みだ。
朝鮮人民軍偵察総局は、人権問題に関心のあるマスコミも3月にサイバー攻撃している。信憑性を増すため、国連人権理事会の対北人権非難決議に対して韓国の人権問題系非営利団体が2月26日付で出した公開書簡に言及した。そのうえで、新型コロナウイルス感染拡大に伴い、国連人権理事会の決議が遅れるだろうと3月20日付の英語のワード文書でもっともらしく説明している。
両サイバー攻撃については、韓国のサイバーセキュリティ企業の「イシュー・メイカーズ・ラボ」がツイートで明らかにした。
無料会員登録はこちら
ログインはこちら