今年3月23日にマレーシアのクアラルンプール国際空港(KLIA)で起きたサイバー攻撃に関し、Qilinランサムウェアグループが犯行を主張し2TBを超える機密データを窃取したと脅しているようです。
「2テラバイトを超える機密情報を公開」とリークサイトに
クアラルンプール国際空港では3月23日にフライト情報表示システムやチェックインカウンターなどのシステムに障害が発生、マレーシアの国家サイバーセキュリティ庁(NACSA)と空港を管理・運営するマレーシア・エアポートは25日に共同で声明を発表し、特定のコンピューターシステムに影響のある脅威が検出されたこと、インシデントの性質と範囲を評価するための調査が開始されたことを明らかにするとともに空港の運営に影響は出ていないと表明しました。しかし、報道ベースでは障害は23日未明に発生し空港の重要なシステムが侵害されて停止したとされ、また、離発着便に遅れが生じるなど航空機の運航にも影響が出たようです。
現地の報道によると、マレーシアのダトェク・スリ・アンワル・イブラヒム首相は3月25日に行われた式典の演説で犯人から政府に対して1000万ドルの要求があったが、この要求を拒否したことを明らかにしたということです。こうした中、Qilinランサムウェアグループがリークサイトにマレーシア・エアポート・ホールディングス(MAHB)を掲載、「アジア地域の大手空港運営会社の重要なインフラデータが漏洩し、2テラバイトを超える機密情報が公開された」と表明、同社はマレーシア国内のほとんどの空港の持ち株会社などと指摘し、「これらの空港は完全な運用停止という現実的な脅威に直面している」と脅しました。
2022年に登場、リークサイトには日本の企業名も
サイバーセキュリティのセンチネルワンによるとQilinは2022年に初めて登場したランサムウェアで、RaaSとして犯罪ビジネス化されているランサムウェアだということです。身代金が支払われない場合はデータを公開すると脅す二重脅迫型のランサムウェアです。アフィリエイトをロシア語のサイバー犯罪フォーラムで募っており、フィッシングメールやパッチが適用されていない脆弱性を悪用するなどしてターゲットに侵入するようです。Qilinのリークサイトにはこれまでに日本の自動車部品メーカーや精密機器メーカーも掲載されているようです。
空港を狙った攻撃はこれまでもあり、2017年にNotPetyaが世界的に流行した際は、ウクライナ、キエフのポルィースビリ国際空港のウェブサイトとオンラインの出発時刻案内板が停止し多くのフライトが延期させられたほか、2018年には米ジョージア州のハーツフィールド・ジャクソン・アトランタ国際空港、2019年には米ニューヨーク州のオールバニー国際空港にランサムウェア攻撃が行われているということです。また、ランサムウェア攻撃ではありませんが2020年にはサンフランシスコ国際空港のウェブサイトが侵害されてユーザーの認証情報を盗み出す悪意あるコードが埋め込まれる攻撃が行われているということです。
マレーシアの空港には新たな航空会社の参入が相次いでおりアジアのハブとして成長しているようです。マレーシア・エアポート・ホールディングスはマレーシア国内の空港にとどまらずトルコの国際空港の運営も担っているようですから、今回のランサムウェア攻撃は特定の企業や施設にとどまらずアジアの航空業界全体に対する脅威とも言え、攻撃者の背後にはそれなりの組織の存在がある印象を抱きます。
■出典
https://www.malaysiaairports.com.my/en/media-centre/news/1562
https://www.sentinelone.com/anthology/agenda-qilin/
https://blog.kaspersky.co.jp/protecting-airports/31685/