衛星通信大手のViasatは米国時間3月30日、ウクライナと欧州各地におけるブロードバンドサービスの停止につながった2月のサイバー攻撃について、調査から分かった新たな情報を公開した。Viasatは、「多方面にわたる計画的な」攻撃により、ウクライナでは「数千件」、また欧州全体で数万件の固定ブロードバンド顧客に影響があったことを認めた。
Viasatの「KA-SAT」ネットワークが攻撃を受けたのは2月24日で、ロシアがウクライナに侵攻したのと同じ日だった。Viasatのインシデントサマリーによると、標的型のサービス拒否(DoS)攻撃が最初に検知された際、不正なトラフィックが大量に集中し、多くのモデムでオンライン状態を維持するのが難しくなった。そのトラフィックは、ウクライナ国内に設置された一部の「SurfBeam2」モデム、「SurfBeam 2+」モデム、およびそれらの機器に関連するカスタマー構内設備(CPE)を送信源としていた。
Viasatは、「攻撃の目的はサービスを中断させることだったとわれわれは考えている」とし、「エンドユーザーのデータへのアクセスや侵害、顧客の個人用機器(PC、モバイルデバイスなど)への不正なアクセスがあった形跡はない。KA-SAT衛星自体あるいは衛星地上インフラそのものが直接被害に遭ったり、機能が損傷したり、侵害された形跡もない」と述べた。
攻撃を受けた場所は、Eutelsatの子会社であるSkylogicがViasatの代理として運用しているKA-SATネットワークの民生向け区画であることが突き止められた。Viasatが直接管理しているKA-SAT衛星のモビリティーユーザーや政府ユーザーには影響がなかったほか、Viasatが運用している他のネットワークのユーザーにも影響がなかった。
さらなる調査とフォレンジック分析により、KA-SATネットワークの信頼されている管理セグメントへのリモートアクセス権を手に入れた攻撃者が、地上からネットワークに侵入したことが確認された。攻撃側は、VPN機器の構成の不備を悪用してアクセス権を得たとみられる。攻撃側はこのネットワークアクセスを利用して、決められた標的に向けた正規の管理コマンドを、住宅向けの大量のモデムで同時に実行した。
Viasatによると、同社は現在もサービスのホールセール業者と協力して、顧客のネット接続を回復するために取り組んでいるという。
また、EutelsatとSkylogic、さらにサイバーセキュリティ企業Mandiantや米法執行機関、外国政府当局とも協力して、調査を継続中だとしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。