名古屋港の統一コンテナターミナルシステムNUTS(Nagoya United Terminal System)に対するランサムウェア攻撃は、サイバー攻撃によって港湾インフラが停止に追い込まれるという日本のサイバー史上初めてのケースとなった事件です。ランサムウェア攻撃はどのようにして発覚し、現場ではどのような対応が図られたのでしょうか?
集中管理ゲートでトレーラーが立ち往生
NUTSを運用する名古屋港運協会によると攻撃が発覚したのは7月4日午前6時30分頃だということです。最初の混乱はトレーラーが集中する管理ゲートで起きたようです。ターミナルに出入りするトレーラーはこの集中管理ゲートでハンディタイプの端末を使ってIDを送信して認証を受け、認証されると端末にコンテナ受け渡し場所が表示されるので、指示された場所でコンテナを積載し、再び集中管理ゲートで通信処理によるチェックを受けるシステムになっています。しかし、7月4日はトレーラーが認証されないことからゲートから進めず、一方で次々とトレーラーがゲートに入ってきて大きな混乱が起きたようです。
また、ネット上では名古屋港がサイバー攻撃を受けたとのツイートが流れ始め、ツイートを見た新聞記者から事実確認を求める連絡が港運協に入ったということです。このツイートを確認していないので具体的にどのような内容だったのか承知していませんが、4日早朝に名古屋港の異常事態がツイートされていたならば、混乱の渦中にあったトレーラーのドライバーによる投稿だったのかもしれません。しかし、そうだとしてもなぜサイバー攻撃とわかったのか疑問です。海外でのサイバー攻撃のケースでは攻撃者が乗っ取ったシステムの電子表示板等でサイバー攻撃を明らかにすることがあります。憶測にすぎませんが、ゲートで通信のやりとりをした際、本来であればコンテナの受け渡し場所等が表示されるドライバーの端末にサイバー攻撃を示すメッセージが表示されたのかもしれません。
攻撃者の求めには応じていない
異常事態を受けて港運協で確認したところ名古屋港のNUTSが稼働していないことが判明、データセンターでサーバーを再起動したが立ち上がらなかったということです。またNUTSにつながっているプリンターの電源を入れたところLockBitからのメッセージが大量に印刷されたということです。港運協は当初、システム障害と考えていたようですが、印刷されたメッセージを見た愛知県警の警察官からLockBitによるランサムウェア攻撃と指摘されてランサムウェア攻撃を受けたとの認識に至ったようです。ちなみに印刷されたペーパーにはLockBitという名前とアクセス先、そしてアクセスを求めるメッセージだけが英文で記されていたということです。港運協は攻撃者が示したアクセス先にアクセスをしていないことから現状では身代金要求や脅迫行為は受けていないということです。
被害システムと切り離してバックアップデータをとっていた
NUTSは稼働を停止してから2日後の7月6日に復旧しました。ランサムウェア攻撃を受けたシステムとしては極めて早期に復旧したと言えます。早急に復旧できた理由について港運協はデータのバックアップをNUTSのシステムと切り離した状態でとっていたことをあげています。このバックアップデータを使ってデータを復元することができ復旧に至ったようです。その際はバックアップデータのプログラムに不正なプログラムが紛れ込んでいないかチェックをして行われたということです。
愛知県では県警と重要インフラ事業者による愛知県サイバーテロ対策協議会が2008(平成20)年5月に設立され、官民が連携してサイバーテロ対策に取り組んできました。港運協も同協議会に参加してサイバー対策に取り組んできたということですが、今回の事態に対しては「まさか自分たちのシステムが‥‥」との思いが強いようです。サイバー攻撃に対して備えは必要と考えても、自分ごとと捉えている組織は少ない気もします。しかし、サイバー攻撃はいつ起きてもおかしくない、身近に潜んでいる大きなリスクだということを今回の事件は改めて浮き彫りにしているように思います。