「鉄道」を狙うサイバー犯罪者を分析して分かったこと

鉄道に対するサイバー攻撃が相次いでいる。機密データや個人情報を盗み取られており、ランサムウェアも使われている。なぜ鉄道が狙われるのだろうか。その結果、何が起こるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　鉄道がランサムウェア攻撃の標的になっている。米国とカナダの鉄道会社が狙われているものの、攻撃者の狙いからすればどの国が狙われてもおかしくない状態だ。何が起こっているのだろうか。

鉄道を狙う理由とは

　2023年1月6日、サンフランシスコのベイエリア高速鉄道（BART）はランサムウェア攻撃に遭ったことで極めて機密性の高い個人データが流出した。BARTは利用者数が全米5位、カリフォルニア州では最大の輸送システムだ。

　サイバー攻撃グループ「Vice Society」は2023年1月6日に情報流出サイトにBARTを掲載し、犯行声明を出した。

　「Cybersecurity Dive」に提供されたスクリーンショットによると、盗まれたとされるデータには、「従業員マスターリスト」「犯罪歴レポート」「犯罪研究所レポート」「警察レポート」「児童虐待疑惑レポート」「ヘロインの規制物質検査レポート」などと題したファイルの長いリストと、機密性の高い個人データが含まれていた。

　Vice Societyが管理するリークサイトに投稿されたデータの多くは、交通機関の警察部門のものだとみられている。

　同社のアリシア・トロスト氏（最高コミュニケーション責任者）は「投稿されたデータについて調査している」と述べた。このデータについてランサムウェアが関与していたのかどうか、またいつ事件が発生したのかについて、同社は言及していない。

　「BARTのサービスや内部の業務システムに影響は出ていない。他の政府機関と同様に、対応に必要な全ての予防措置を取っている」（トロスト氏）

　BARTは、身代金要求の可能性やその場合の対応、連邦政府や州当局に通知したかどうかなどの質問には回答していない。

　サイバーセキュリティを提供する企業Emsisoftのブレット・キャロウ氏（脅威アナリスト）は次のように述べた。

　「警察部門に対する攻撃は保有する情報の機密性と、情報が漏えいした場合に起こり得る影響を考えると、最も深刻な事態だ。人命が危険にさらされ、捜査が危うくなり、証拠が失われ、起訴が見送られるかもしれない」

公共交通部門は高い脆弱性を抱えている

　2021年4月のニューヨーク市都市交通局への攻撃や2020年5月のコロラド州交通局への攻撃、2020年12月のバンクーバー市のトランスリンクへのランサムウェア攻撃、2018年1月のトロント市のメトロリンクへの攻撃など、交通システムや鉄道システムへのサイバー攻撃が続いている（注1）。

　Sophosのチェスター・ウィスニウスキー氏（主任研究員）によれば、特に公共交通部門は他の業界に比べて著しく脆弱（ぜいじゃく）だという。

　「攻撃対象が政府機関である場合、常に悪夢となる。われわれは学校や病院、政府に対してヒアリングを続けている。これらの機関のセキュリティは最悪だ。税金で運営され、官僚機構が支配しており、輸送を提供することだけが目的だからだ」（ウィスニウスキー氏）

　サイバーセキュリティに十分な費用をかけておらず、リスクを適切に評価していないことが多いと同氏は指摘する。

　運輸保安庁（TSA）は2022年10月、国内の貨物鉄道システムや旅客鉄道システムが直面する継続的なサイバー脅威に対応し、交通機関の所有者と運営者に対するサイバーセキュリティの指示を強化した（注2）。

　2021年12月、同庁はインシデント報告や連携に対応する新たな指令と自主ガイドラインを発表した（注3）。

Vice Societyが公共部門への圧力を強化

　BARTが保有する機密性の高い個人情報が流出したことが明るみに出たものの、「この種の攻撃では通常、個々の被害者が詐欺に狙われることはない」（ウィスニウスキー氏）。これは朗報だろう。

　「ほとんどの場合、実際に起こるのは恐喝だけだと思われる。身代金を支払わせたり、BARTを恐喝したりするために盗み出した情報を使う。身代金が手に入らなかったとしても、盗み出した個人情報を使って不正な取引や財物の購入を始めることはないだろう」（ウィスニウスキー氏）

　Vice Societyの行動はこの指摘にまさしく当てはまり、幾つかの大きなターゲットだけを攻撃している。

　Microsoft Securityの研究者は2022年10月の報告書で（注4）、「このグループには金銭的な動機がある。セキュリティ管理が弱く、侵害や身代金支払いの可能性が高い組織を狙い続けている」と記している。

　2021年6月に登場したVice Societyの攻撃手法は他のグループとは異なる。自ら開発した拡張機能を持つランサムウェアペイロードを使用していることが特徴だと、Microsoft Securityの研究者は述べる。

　Vice Societyはランサムウェアのペイロードに修正を加え続けており、複数のマルウェア系統を使用する。攻撃対象となる組織を偵察して、そこで見つかった弱点に基づいて異なるマルウェアの亜種や攻撃テクニックを展開しているようだ。

　Vice Societyは、2022年9月にロサンゼルス統一学校区を攻撃した（注5）。全米第2位の規模を誇る同学区がグループの身代金要求を拒否した後（注6）、攻撃者は生徒や従業員の個人情報、損害を与えかねない情報（注7）を含む約25万件の学区のファイルをダークWebに流出させた（注8）。

　同学区が事件を公表したまさにその日に、連邦政府当局はVice Societyを取り上げた合同サイバーセキュリティ勧告（注9）を発表した。FBIとCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、ロサンゼルスの学校システムの調査と対応を支援している。

　「ランサムウェアの多くは民間企業をターゲットにしているが、Vice Societyは公共部門（特に学校）を主なターゲットにしているという点で少し変わっている。その行動の理由は明らかではない」（キャロウ氏）

出典：Ransomware attack exposes California transit giant’s sensitive data（Cybersecurity Dive）

注1：Rail transit vulnerable to cyberattacks, experts say（Cybersecurity Dive）

注2：TSA rolls out long-anticipated cyber directive for freight, passenger rail systems（Cybersecurity Dive）

注3：TSA rolls out rail cyber requirements, targeting prevention and rapid response（Cybersecurity Dive）

注4：Vice Society’s ransomware playbook, queries for potential victims leaked（Cybersecurity Dive）

注5：Los Angeles school district hit by ransomware attack（Cybersecurity Dive）

注6：Ransom demand escalates fallout from Los Angeles schools cyberattack（Cybersecurity Dive）

注7：LA schools system downplays impact of leaked data（Cybersecurity Dive）

注8：Los Angeles schools’ data leaked after ransomware attack（Cybersecurity Dive）

注9：Aler(AA22-249A)