ランサムウェアハッカーがシアトル公共図書館を標的にしたのはなぜですか?
先週末のシアトル公共図書館へのランサムウェア攻撃は、公共図書館システムを標的とした初めての攻撃ではない。
トロントとロンドンの図書館も最近、大規模なサイバーセキュリティ侵害に見舞われ、技術インフラが機能停止し、数か月にわたる深刻なサービス中断が発生した。
ランサムウェア攻撃は昨年大幅に増加しました。ランサムウェア攻撃は、ハッカーが認証情報を悪用したり、ソフトウェアの脆弱性を悪用したりしてデータにアクセス不能にしたり、漏洩を脅迫したりした後、被害者に法外な身代金を要求するのが典型的です。最近の注目すべき攻撃では、オークションハウスのクリスティーズ、アセンション・ヘルスケアやチェンジ・ヘルスケアなどの医療機関、そしてシアトルのフレッド・ハッチンソンがんセンターが標的となりました。
シアトルのサイバーセキュリティスタートアップ企業ガルバニックのCEOで、元ホワイトハウスのサイバー政策リーダーであるジョシュア・スタインマン氏は、公共図書館は要求された身代金を支払うのに十分な資金を持っている可能性が低いため、「奇妙な」標的だと述べた。
しかし、政府関連機関は重要な公共サービスを提供しているため、時間の損失が決定的な違いを生むため、ランサムウェア攻撃者にとって魅力的だと、シアトルに拠点を置くウォッチガード・テクノロジーズの最高セキュリティ責任者、コーリー・ナクライナー氏は述べた。
「ランサムウェアの脅威アクターは、この標的が他の政府関連組織と同様に身代金を支払う可能性が高いと考えただけだろう」とナクライナー氏は述べた。「しかし、脅威アクターは侵入に成功しそうな組織を狙うこともある」
シアトルに拠点を置くサイバーセキュリティの新興企業アバーロンのCEO、スニル・ゴットムッカラ氏は、図書館や学区は通常、十分な資金を持つサイバーセキュリティチームを持たず、個々の脅威に対して効果的に自衛することができないと述べた。
非営利団体インターネットセキュリティセンターが昨年発表した報告書によると、ランサムウェアは州や地方自治体に影響を及ぼす最も一般的かつ重大なサイバー脅威の1つである。
シアトル公共図書館は、シェルフトークブログへの投稿で、休日週末の計画メンテナンスのためシステムをオフラインにする準備をしていた土曜の早朝に始まったサイバーセキュリティ攻撃について詳細を述べた。
この攻撃により、職員および公共のコンピュータ、オンラインカタログおよび貸出システム、電子書籍および電子オーディオブック、館内Wi-Fi、図書館ウェブサイトへのアクセスが影響を受けたが、ウェブサイトは水曜日の朝に復旧した。
「図書館はすぐに第三者の鑑識専門家を雇い、法執行機関に連絡し、システムを完全にオフラインにして、事件を中断し、その性質と影響をより正確に評価しました」と図書館はブログ投稿で述べた。
シアトル各地の図書館27か所は引き続き開館しており、印刷された書籍やその他の物理的な資料は引き続き紙のフォームで借りることができます。
図書館に連絡を取り、サービスの復旧状況に関する最新情報を入手しました。最新情報:シアトル公共図書館の広報責任者であるローラ・ジェントリー氏は、攻撃に関する調査が進行中のため、図書館が共有できる情報はShelf Talkブログに投稿されている業務の最新情報以外には限られていると述べました。
「シアトル公共図書館チームは素晴らしい仕事をしています。市民が引き続き図書館を利用し、ペンと紙を使って本を借りられるようにするとともに、どのようなサービスが機能しているかを市民にオープンに伝えています」とスタインマン氏は述べた。
トロント公共図書館のコミュニケーションおよびステークホルダー関係担当シニアマネージャー、アナ・マリア・クリッチリー氏は、同図書館がシアトル公共図書館に連絡を取り、支援を伝えているとGeekWireに語った。
「サイバー攻撃はそれぞれ異なり、状況に合わせた対応が必要ですが、公共機関がますます標的にされていることは明らかです」とクリッチリー氏は述べた。「公平性、情報へのアクセス、そしてすべての人へのオープンさを理念とする公共図書館にとって、これは市民社会の本質そのものに対する攻撃です。」
最近の攻撃は、他の図書館システムにとってセキュリティ防御を強化する兆しとなるかもしれない。
ナクライナー氏によると、ランサムウェアの脅威アクターは、エンドユーザーを騙してユーザー名とログイン認証情報を誤って共有させようと、典型的なフィッシングメールを利用することが多いという。また、オンラインで公開されているパッチ未適用のネットワークサービスを見つけて悪用し、アクセス権限を取得したり、リモートアクセスソフトウェアの脆弱性を発見したりすることもある。
「ハッカーがネットワーク内に侵入し、ほとんどの防御を突破すれば、他のコンピュータにアクセスするのは一般的に難しくありません」とナクライナー氏は述べた。「社内ネットワーク経由で認証情報を入手し、それを使って他のシステムにログインすることもあります。また、正規のソフトウェア導入ツールを使って、すべてのデバイスにランサムウェアをインストールすることもあります。」
大英図書館は攻撃方法の詳細を公開し、最初の侵入ポイントはおそらく侵害されたアカウント認証情報を通じてアクセスされたサードパーティのアクセスシステムだったと指摘した。
「攻撃的かつ破壊的なサイバー攻撃の脅威はかつてないほど高まっており、こうした攻撃を仕掛ける組織は技術がますます高度化し、技術システム全体を破壊しようとする意欲は冷酷になっている」と大英図書館のローリー・キーティングCEOは3月のブログ投稿で述べた。
「これは、知識と文化をデジタル形式で収集し、アクセス可能にし、後世のために保存するという使命を共有する図書館をはじめとするすべての機関にとって特に重要です。大英図書館への攻撃の動機は純粋に金銭目的だったように思われますが、事実上、知識へのアクセスに対する攻撃として機能しました。」
ゴットムッカラ氏は、組織に対して、定期的にテストされる復旧および再構築の計画を確実に実施し、二要素認証を有効にし、重要なシステムに最新のパッチを適用するようアドバイスした。
シアトルを拠点とするサイバーセキュリティの新興企業オレリアのCEO、ジム・アルコーブ氏は、組織はユーザーが職務に必要なアクセスと許可だけを持つようにし、それ以上のことはしないようにすべきだと述べた。
「旧来のID・アクセス管理システムと、比較的静的で手作業が中心となるワークフローが相まって、多くの組織は過剰なユーザーアクセスに悩まされています」と彼は述べた。「過剰なアクセスは組織やユーザーにとって実質的な価値をもたらさない一方で、悪意のあるユーザーがそのようなアカウントにアクセスする際の攻撃対象領域を不必要に大きくしてしまうのです。」
