イメージ:写真AC

ラスベガスのカジノが立て続けにランサムウェアによるサイバー攻撃の被害に遭った。被害の情報はいち早く開示され両社の株価にも影響を与えたが、今後は開示要件や信用格付にも影響を及ぼすことになる。初動対応をサポートする事例なども踏まえ紹介していく。

SNSと電話でジャックポット

ラスベガスで9月、同じランサムウェア(身代金要求型マルウェア)によって立て続けに2件のカジノでのサイバー攻撃被害が発生した。被害に遭ったうち一方のカジノは身代金の支払いを拒否したが、もう一方のカジノは1500万ドル(およそ22億円)もの身代金を支払って解決を試みている。

身代金を支払ったほうのカジノは、運転免許証や社会保障番号などのデータが盗まれたことによる被害を最小限に抑えるために、身代金の支払いに応じたと述べている。ただし、今回のサイバー攻撃被害が会社の収益に重大な影響を与えないとしているものの、盗まれたデータの安全は保証できないとも述べている。かたや、身代金の支払いを拒否し自力での復旧を試みたほうのカジノでは、10日間のシステム停止によってカジノやホテル、レストランなどの営業に影響した。損害額は1日あたりの収益の10%〜20%に相当すると報告しており、推定8,000万ドルから1億6,000万ドル(およそ120億円から240億円)にもおよぶと見られている。

多くの人にとってカジノと言えば、物理的にも強固なセキュリティが備わった施設といったイメージはあるだろう。「オーシャンズ11」など多くの映画でも、難攻不落の要塞のようなカジノから現金や金塊などを盗み出す強盗たちの試行錯誤が描かれている。 ところが今回は、易々とサイバー攻撃が成功してしまったのだ。10代のメンバーも所属していると考えられているこのサイバー犯罪グループは、SNS(ソーシャルメディア)と電話によって、1500万ドル(およそ22億円)を手に入れることに成功した。まさしくジャックポット(カジノで大当たりすること)だ。

このグループがまずやったこと。それは、SNSの一つであるLinkedinで、カジノの従業員を探し、情報収集するところから始まった。そして次に、調べたカジノの従業員になりすまして、カジノのITサポートに電話。カジノのシステムにログインできないと偽り、任意のパスワードを新たに設定するためのパスワードリセットをITサポートに依頼。もちろん、ITサポートは従業員本人からの連絡であることを確かめるために本人確認の質問をしたが、質問はなんと氏名・従業員番号・生年月日のみ。ここで事前にLinkedinで調べておいたこれらの情報を伝えることでなりすましに成功。そして、パスワードリセットの依頼に成功し、自身で設定した新しいパスワードでシステムへの侵入を成功させている。

この時にMFA(多要素認証)が導入されていれば、誰かが自分のパスワードをリセットしようとしていることに、なりすまされた本人も気が付けたのかもしれない。ソーシャルメディアでの職場情報の公開や簡単な本人確認プロセス、MFAの不備などたくさんの教訓が詰まったケースではある。映画に描かれるカジノのほうがもう少し難しいことをやっているかもしれない。