アトランタ空港がランサムウェアの拡散を防ぐためにWi-Fi遮断に追い込まれる
Wall Street Journal が今日、アトランタ市で発生したマルウェア攻撃に対する安全上の予防措置として、ハーツフィールド・ジャクソン・アトランタ国際空港で Wi-Fi サービスが遮断されたと報道しました。初期段階のいくつかの報告によれば、同市の複数の公的コンピュータに対する SamSam と呼ばれる攻撃によってファイルが暗号化され、身代金が要求されたようです。アトランタ空港は、空港当局のコンピュータ、航空会社のコンピュータ、おそらくは利用者のコンピュータへと攻撃が拡大するのを防ぐ目的で、Wi-Fi サービスの「電源を切断した」とされています。
飛行便への影響はなかったものの、空港利用者の携帯電話、タブレット、ラップトップに Wi-Fi の SSID が表示されなくなるという混乱が生じたことは明らかです。
ランサムウェア
ランサムウェアとは、コンピュータシステムのファイルを暗号化して使用できなくする高度なマルウェア攻撃の一種であり、ファイルを復元するための暗号化キーと引き換えに身代金を要求します。ランサムウェアは通常、無害に見えるファイルや電子メールの添付ファイルに隠されていたり圧縮されて組み込まれていたりしており、疑いを持たないユーザがそれをクリックしたり開いたりすることで、ユーザのマシンに感染します。ファイルは、Ethernet 回線、セルラデータ、そして、当然ながら Wi-Fi などのさまざまな方法でユーザのコンピュータに送り込まれます。
ランサムウェア感染の Wi-Fi への影響
ランサムウェアが 1 つ以上のファイルを使ってコンピュータに感染した場合、ユーザのノート PC、タブレット、携帯電話の接続が単に Wi-Fi からセルラに切り替わるだけで、不正ファイルにさらされるリスクが解消されないのであれば、アトランタ空港でなぜ Wi-Fi サービスが遮断されたのでしょうか。それは、アトランタ空港のネットワークとセキュリティに詳しい担当者が、Wi-Fi が攻撃者に悪用され、中間者(MiTM)攻撃を実行するための自動化された攻撃ツールを使って不正ファイルが拡散する恐れがあることを知っていたからです。
Wi-Fi 中間者攻撃による不正ファイル(おそらくはランサムウェア)の拡散
アトランタ空港の関係者は、空港の Wi-Fi に接続された空港当局のコンピュータを不正ランサムウェアに感染させようという考える攻撃者がいたとすれば、それも可能であることを理解していたため、Wi-Fi の電源を切断することで脅威を完全に回避しようと決断しました。詳細は割愛しますが、Wi-Fi 中間者攻撃の基本原理は、近くいる悪意ある人物が、SSID、場合によっては正規のアクセスポイントの MAC アドレスを偽装して、「悪魔の双子(Evil Twin)」のアクセスポイントを作成するというものです。攻撃者は、スプラッシュページを偽装したり、データストリームを操作したりすることで、ユーザのマシンを悪魔の双子に接続し、不正ファイルを送り込みます。悪魔の双子 Wi-Fi 攻撃については、こちらのビデオで詳しく説明されていますので、参照してください。
Wi-Fi 環境のセキュリティ対策
サイバー攻撃の発生時に過度とも言えるほどの予防措置が実施されるのは十分に理解できることですが、世界で最も忙しい空港のビルに WIPS(自動分類、検知、防御システム)が導入され、空港当局や航空会社のコンピュータを正しいアクセスポイントに接続して中間者攻撃の試行を無力化するようになっていたとすれば、Wi-Fi サービスを中断することなく継続できていたかもしれません。WIPS の詳細については、こちらを参照してください。さらには、適切なネットワークセキュリティと検知・対策の機能をネットワークに実装し、ランサムウェアを始めとする高度サイバー攻撃に対する多層型セキュリティ防衛戦略を導入することが極めて重要です。その具体的な方法については、こちらでご確認ください。