英国国家犯罪庁が容疑者を逮捕
英国国家犯罪庁(NCA)は、欧州の空港全体で広範な混乱を引き起こしているランサムウェア攻撃に関連して、容疑者を逮捕しました。この逮捕は、Collins AerospaceのMulti-User System Environment(MUSE)旅客処理ソフトウェアに影響を与えたサイバー攻撃の捜査を受けて行われました。
NCAは、「NCAの捜査官は、サウスイーストROCUの支援を受け、昨日夕方、ウェストサセックスで40代の男性をコンピュータ不正使用法違反の疑いで逮捕した」と発表しました。NCAの国家サイバー犯罪ユニットのポール・フォスター部長は、「この逮捕は前向きな一歩ですが、この事件の捜査は初期段階であり、現在も進行中です」と付け加えました。捜査は継続中ですが、容疑者は条件付き保釈されています。
RTX社がランサムウェア攻撃を認める
Collins Aerospaceの親会社であるRTX Corporation(旧Raytheon Technologies)は、MUSEへのランサムウェア攻撃が欧州の空港で混乱を引き起こしていることを確認しました。RTX社は、世界中で186,000人以上の従業員を擁し、昨年800億ドル以上の収益を報告しています。
RTX社は米国証券取引委員会(SEC)への提出書類で、「このソフトウェアは、複数の航空会社が空港でチェックインおよびゲートリソース(手荷物処理を含む)を共有することを可能にします。MUSE空港システムは、RTXのエンタープライズネットワークの外部で、顧客固有のネットワーク上で運用されています」と述べています。
広範囲にわたる空港の混乱
このランサムウェア攻撃は、最初のフライト遅延報告が出始めた9月19日金曜日に検出されました。これにより、フライトの欠航や遅延が広範囲に発生しています。技術的な問題が発生している空港には、ロンドンのヒースロー空港、ブリュッセル空港、アイルランドのコーク空港とダブリン空港、ベルリン・ブランデンブルク空港などが含まれます。
RTX社は、「インシデントを検出すると、当社はインシデント対応計画を活性化し、インシデントの評価、封じ込め、対応、修復のための措置を迅速に講じました。当社は、社内外のサイバーセキュリティ専門家の支援を受けてインシデントを綿密に調査しており、国内外の法執行機関および特定の他の政府機関に通知しました」と付け加えました。「当社はまた、顧客やその他の利害関係者と連絡を取り、影響を受けた航空会社や空港に技術サポートとガイダンスを提供しています。当社の顧客はバックアップまたは手動プロセスに移行しており、特定のフライトの遅延や欠航を経験しています。」
ランサムウェアの種類の憶測
RTX社はインシデントに関する詳細を共有していませんが、サイバーセキュリティ専門家のケビン・ボーモント氏は、攻撃者が「Hardbit」と呼ばれる「信じられないほど基本的な」ランサムウェアの亜種を使用したと述べています。しかし、BleepingComputerはこの情報を独自に検証できておらず、他の情報源からは攻撃に「Loki」ランサムウェアが展開されたという情報も得ています。
これらのランサムウェアの亜種は通常、広範囲な影響を及ぼさない小規模な攻撃で使用されるため、今回の状況での使用は異例です。しかし、どちらもRansomware-as-a-Service(RaaS)プログラムであり、どのアフィリエイトでも使用できる点が共通しています。