真夜中の壊滅的な攻撃、国は危険にさらされています

ジャカルタ - 2024年6月20日にスラバヤに拠点を置く臨時国立データセンター（PDNS）2がサイバー攻撃を受け、多くの政府機関や組織の公共サービスシステムが麻痺した。攻撃の影響は、インドネシア全土の国際空港の入国管理局で最初に感じら​​れた。

当初、入国管理局は、入国管理システムの混乱は技術的およびネットワークの問題によるものだと疑っていた。入国管理局職員も、国の入国管理データにアクセスしたい乗客も、突然、入国管理サービスにアクセスできなくなっていたことが判明した。その日は、パスポート作成などの入国管理サービスが突然停止した。同様に、空港の入国審査サービスも機能せず、多くの空港で乗客が滞留した。

入国管理局長シルミー・カリム氏によると、同氏のグループは、木曜日の午前4時30分に入国管理サービスシステムに混乱があったという報告を受けたことを認めた。当初、同グループは、この混乱は技術的およびネットワーク関連だと疑っていた。同氏は、この問題に対処するため、入国管理局IT技術局に連絡した。同氏によると、入国管理局はテクノロジーに大きく依存する政府機関であり、デジタルテクノロジーを使用して変革してきた。したがって、すべてのサービスはテクノロジーに依存しており、中断が発生すると移行サービスは即座に麻痺してしまいます。

しかし、入国管理サービスのデータシステムが国立データセンターに一元化されているPDNに確認したシルミ氏は、午前6時まで確認が取れなかった。そこで彼は、早朝から活動を開始した国際空港を中心に、多くの空港で混雑し始めた乗客に対応するため、一時的に手動サービスを使用するよう職員に指示し始めた。「手動サービスの円滑化を促進するため、ヘルパーを配置した」とシルミ氏はジャカルタでの記者会見で記者団に語った。

しかし、6時間経っても改善は見られなかった。情報も全くない。その後、PDNの情報は国立データセンターから入手されたが、スラバヤの国立データセンターのサーバーがサイバー攻撃を受けており、この情報も下級職員レベルで入手された。権限のある職員からの公式情報はまだない。インドネシアには現在、国立データセンターのサーバーが数か所に設置されていることが分かっている。スラバヤのほか、バタムにも1台ある。一方、カラワンとIKNの2つの施設はまだ建設中だ。そのため、木曜日の午後、国家データシステムへの妨害があったことが確認された。

結局、シルミー氏は、上司である法務人権大臣の許可を得て、サーバーを別の場所から借りてデータを移行することを決めた。

シルミー氏は、移民サービス、特に国境検問サービスは待てないと考えている。ランサムは修復に長い時間を要するタイプの攻撃であることをよく理解している。そのため、彼は移民サービスのサーバーをすぐに別の場所に移すことを決めた。ちなみに、移民局長は、以前所有していた移民データセンター（プスダキム）からのバックアップデータを移民データセンターにまだ保管している。

そのため、ハッカー攻撃でPDNが麻痺したとき、移民局長は最も早く回復した機関だった。最近行われたフォレンジック監査の結果、PDN が Brain Chiper Ransome タイプのマルウェアによって攻撃されたことが明らかになりました。これは Loc Bit 3.0 のマルウェア派生版です。

度重なる警告が無視されました

国家サイバー暗号庁 (BSSN) の広報担当者 Ariandi Putra 氏によると、スラバヤの臨時 PDN サーバーに保存されていた PDN は、6 月 20 日午前 00:45 WIB 頃にハッカーによる攻撃を受けたことが確認されました。これは Loc Bit 3.0 の最新派生版である Brain Chiper Ransome タイプのマルウェアによるものでした。

Ariandi 氏は、BSSN フォレンジック監査の結果から、サイバー攻撃のタイムラインに基づくと、6 月 17 日に始まったことがわかっていると説明しました。PDN 2 スラバヤのサーバーにインストールされたウィンドウ ディフェンダーを無効化する試みがありました。さらに、6月20日00:54 WIBに、サーバーシステムに侵入した悪意のある活動が発見され、重要なデータを削除しようとする試みがあり、その後、いくつかの重要なファイルに障害が発生しました。

当時、ランサムウェア攻撃が多数のデータに感染し始めていたことが発覚し、ランサムウェア攻撃が侵入したと疑われていた。アリアンディ氏によると、その過程で重要なファイルが削除された。これが、ランサムウェアがスラバヤの臨時PDNサーバー上の複数のシステムをロック/暗号化して最終的に麻痺させる前の出発点だった。

この国立データセンターを使用し、データセンターが機能していないことを最初に報告したサービスの1つは移民局だった。彼らはデータ施設をほぼ24時間使用しているからだ。

CISSReCのサイバーセキュリティおよび通信の専門家、プラタマ・ペルサダ氏によると、ランサムウェアはハッカーがサイバースペースを攻撃するために使用する兵器システムである。ブレイン・チッパーと呼ばれるloc bit 3.0グループは、アンチウイルスに耐性があり適応したマルウェアの最新亜種と言われている。ブレイン・チッパーもアンチウイルス/アンチマルウェアでは検出できないため、検出されずに侵入できることが判明した。侵入すると、コンピュータ システムに入ると破壊的になり、すべてが暗号化され、その暗号化は非常に高いレベルに分類されます。

このタイプの loc ビットは、さまざまな正当な組織、特に大企業と政府などの他の組織の両方で著作権侵害を実行するのに非常に効果的です。最近、彼らは暗号通貨でかなり高い身代金要求で政府組織を攻撃することを好んでいます。

Brain Chiper Ransome は、被害者のファイルを暗号化し、ビットコインの形で身代金を要求する新しい身代金です。国立データ センターのハッキングの場合、ハッカーは 800 万ドル、つまり 1,310 億 (為替レート 16,457) 相当の身代金を要求したと、通信情報大臣のブディ アリがジャーナリストに認めました。しかし、昨日まで通信情報省は身代金の支払いを拒否していました。

多くの情報源からの情報によると、このタイプの身代金は多くの攻撃事例に遡ることが分かっており、2024年3月にはCrinetics Pharmaceuticals社からデータを盗み、400万ドルの身代金を要求しました。2023年10月には、Noescapeグループによって検出された、Oe Federal Credit Unionに属する1.13テラバイトのデータがBrain chipper Ransomwareによって盗まれました。2023年2月には、Chiper RamsowerがVirginia Union Universityの学生と卒業生の個人データを盗みました。

ランサムウェアの亜種であるLock Bit 3.0は、昨年5月にBank Syariah Indonesia（BSI）で発生した1.5TBの顧客データ（内部アクセスとサービスのユーザーデータとパスワード1,500万件を含む）のデータ侵害の犯人であるランサムウェアである疑いがある。身代金は、東ヨーロッパ、旧ソビエト連邦、ロシアのグループが発信したものと考えられている。

以前は「ABCD」ランサムウェアとして知られていたLock Bitランサムウェアは、2019年9月に活動中であることが検出された。このランサムウェアは、米国、中国、インド、インドネシア、ウクライナのほか、フランス、イギリス、ドイツを含むヨーロッパ全土の国々で活動している。このランサムウェアは、アルゼンチンの電力会社Albanesi Group、SRF所有の化学会社、米国南部の200以上のCEFCO店舗を攻撃したと記録されている。

PKS派閥のDPR第3委員会メンバーであるSukamta氏によると、このサイバー攻撃は国家的災害だったという。 「これは初めてのケースではなく、攻撃を実行する側からも何度も警告を受けています。さまざまな側から、さまざまな側から攻撃があるという噂は聞いていますが、インドネシア政府からは何の予防措置も取られていません」とスカムタ氏はメディアに語った。

通信情報大臣のブディ・アリ氏は、DPRの第3委員会メンバーの前で行われた作業会議で、PDN Temporary 2へのサイバー攻撃の影響について説明し、合計239の機関と組織が影響を受けたと述べた。その内訳は、30の省庁/組織、15の州政府、158の地区政府、48の市政府である。

一方、影響を受けなかったと発表された機関/組織と地方政府はわずか48であった。一方、この事件から回復したと発表された機関は、移民局長とケディリ市、海洋水産省、宗教省である。しかし、200の機関がデータの紛失または破損を報告したが、それを回復できたのは44の機関のみだった。通信情報大臣のブディ・アリ氏は、2024年8月中旬までにPDNが回復すると目標を掲げている。

一時的なPDNハッキング事件では、デジタルフォレンジックの専門家であるルビ・アラムシア氏は、PDNの管理に2つの誤りがあったと評価した。1つ目は、セキュリティ監視の最適化が行われていないため、侵入やデータのロックが検出されない。2つ目は、バックアップシステムがないため、PDNSは設計上安全ではないようだ。

しかし、ルビ・アラムシア氏は依然として、犯人がPDNにデータを持っていないと考えている。同氏によると、犯人はデータをコピーする時間がなかったようで、データを持っていないと疑われている。犯人はロックと暗号化のみを行い、データをコピーする時間がなかったと期待している。 「そのサイズのデータ​​は移動にかなり時間がかかりますが、そのコンセプトはデータを人質に取る/ロックするだけです。犯人はマルウェアをランダムにさまざまな場所に送信しただけであり、メール/Webを開いた人は誰でもウイルスに感染したと考えられます。」

ルビ氏によると、現時点では犯人がデータにアクセスしていないと確信しているという。ランサムウェア攻撃の被害者のケースを数多く扱ってきたルビ氏は、サイバー犯罪者の行動を理解している。これまでのところ、彼らは正直で、身代金が支払われればラッキーで、そうでない場合はデータを解放するだろう。

多数の公共サービスが影響を受けた

しかし、ハッカーに身代金を支払う意思がないとしても、コミュニティは攻撃によって確実に損失を被った。確実に中断されるサービスの 1 つは、教育文化研究技術省 (Kemendikbud Ristek) である。教育文化研究技術省の統合サービス ユニット (ULT) は、公式 Instagram @ult.kemdikbud で、電子調達システム (SPSE) を含む 47 の Kemendikbudristek サービス ドメインが PDN 中断の影響を受けたと述べた。

教育文化研究技術省の他のサービスでは、バックアップがなかったため、約 80 万人の KIPK 受給者のデータが失われるなどの問題が発生した。BPI (インドネシア教育奨学金) の登録は延期を余儀なくされたが、留学開始のスケジュールは延期されなかった。インドネシア教育奨学金では、奨学金受給者への支払いが遅れる可能性があり、生活費が数倍もかかる海外在住の学生にとっては非常に不安なことです。支払いが遅れると、

影響は、依然としてアクセスできないことが知られている国立アーカイブの Srikandi サービスにも及んでいます。また、さまざまな地域の新入生入学 (PPDB) データ サービスも依然として中断しています。

この影響は、この身代金によるハッキングの被害者であるテナントである省庁などの機関機関だけではありません。ハッキングの影響は、Kominfo や BSSN などの関連機関の立場にも影響を及ぼしており、これも大統領の懸念事項です。そのため、大統領は BPKP に、PDN 管理の監査を直ちに実施するよう要請しました。