先月、インドネシアの国立データセンターがサイバー攻撃を受け、200ほどの政府機関の業務が停止した。攻撃したのは「LockBit3.0*1」から分派したと思われる「Brain Ciper」という集団。ランサムウェアによってデータを暗号化したとして、復旧するためには800万ドルを払えと脅してきた。それが1ヵ月前のことである。
インドネシア政府は支払いを拒否、独自に復旧にあたっているが、多くの業務で復旧が成されるのは8月になりそうだ。支払い拒否の姿勢はいいとして、どうして2ヵ月も復旧にかかるのかというと、政府データのほとんどはバックアップされていなかったから。攻撃後1週間で回復できたデータは2%との報道があったが、つまりバックアップがあったのは2%ということだ。もちろんバックアップの仕組みはあって、推奨はされていたのだが、現場ではコストの問題か実施されていなかった。ジョコ大統領は、データセンター(&データ)の総点検を命じたという。
政府への攻撃ということで、敵対する国家からのものかとも思われたが、どうも純粋にカネ目当てだったらしい。ある報道では「犯行グループはインドネシア国民に迷惑をかけたことを謝罪している」という。さらに、
・盗んだデータは(Web公開したりせずに)消去した
・復号のキーも(無償で)提供する
と脅迫を取り下げてきた。しかしそのキーで新たなウイルス感染が起きるのではと、当局はキーの利用をためらっている(*2)。
これまで多くの企業、団体が被害に遭ってきたランサムウェア。基本対策はバックアップを取っておくことだし、そもそもバックアップのないシステム運用が異常だ。今回のインドネシア政府の体験は、多くの企業、団体への注意喚起になると思う。
*1:この犯罪集団は日本の警察も加わった国際連携捜査で摘発されている
*2:政府システム復旧難航 インドネシアサイバー攻撃1カ月 犯行集団が「解除法」公開 さらなるリスク懸念 - 日本経済新聞 (nikkei.com)
