やはりガーミンは身代金を支払ったのか？その根拠【ランサムウェアによるサーバー停止事件】

ガーミン（Garmin）は、スポーツ向けのスマートウオッチやサイコンなどのデバイスだけに限らず、航空機でも使われているGPS機材を開発・販売する。

しかし、先月の7/23日、そんなガーミンのWEBサービスのガーミン・コネクト（Garmin Connect）が突然シャットダウンし、世界中のユーザーが自身のスポーツ活動のログをアップすることができなくなった。→過去機記事：ガーミンにハッキング攻撃か？Connectにつながらず

その原因は、ガーミン社のシステムが、ロシアの犯罪組織Evil Corpによって開発されたランサムウェアWastedLockerに侵され、サーバー内のファイルが勝手に暗号化されてしまったこと。

暗号化されたパソコンは、その暗号を解読しないかぎり使えない。まさにランサムウェアとは、「再び使えるようになりたければ、金を払え。だったら暗号を解く鍵を渡してやる」と身代金を求めて脅迫するソフトウェアのことである。

現在は不完全ながらもガーミン社の各種サービスは大部分が復旧しつつある。ならば、ガーミン社はその要求に従い、犯罪組織に身代金を支払ったのではないか？そんな疑念を誰もが抱いていた。

この点につき、ITセキュリティに関する専門家向け情報を提供する企業で、特にランサムウェアに詳しいBleeping Computer社が、そのサイト上で「ガーミンが犯罪組織から暗号を解くため（復号化するため）の鍵を手に入れたと確認できた」との記事を掲載している。

Bleeping Computer：Confirmed: Garmin received decryptor for WastedLocker ransomware

Bleeping Computer社の見解：身代金を支払った根拠

Bleeping Computerは、公式Twitterでもその情報を発表している。

そもそもBleeping Computer社は、ガーミン・コネクトがシャットダウンしたときに、「ガーミンは緊急メンテナンスをしているのではなく、実はランサムウェアに感染しシステムが暗号化されてしまっている」という事実に世界で最初に気づいた企業である。すげぇ。

そして今回Bleeping Computerは、ガーミン社のIT関係の部署によって作成された、とあるプログラム（Windowsでいう拡張子が”.exe”の実行ファイル）を手にいれた。それは、暗号化されたシステムを復号化（暗号を解く）するためのものである。

Bleeping Computerがそのプログラムを調べたところ、以下の3つの事実が判明した。それは以下の3点である。

• やはり今回の原因はWastedLockerによるものであったこと
• 復号化のための鍵の特殊なプログラムがなければ、暗号を解き、システムを正常化させることはできないこと
• プログラムは、サーバーが使えなくなった翌日の7/25に一度実行された形跡があること

これらの事実から推定できることは、ガーミン社がシステムのシャットダウン後の48時間以内に犯罪組織に身代金を払い、復号化のための鍵となる特殊なプログラムを手に入れ、それを実行したということである。

このようにBleeping Computer社は主張している。

ただテロ組織とも言えるようなそんな犯罪者集団に身代金を払うことは米国で禁止されている。それにも関わらず本当に支払ったとすれば、ガーミン社は今後アメリカ政府との関係で難しい事情を抱えることになる。

身代金の額

また身代金の額については、要求されたのは1000万ドル（約10億5000万円）だが、実際にガーミンが支払ったのは450万ドル（約4億7500万円）とする報道がなされている。しかも、その支払い手段は現金や証券での類ではなく、匿名性の強い仮想通貨のビットコインが使われたとのこと。

→参考：US Travel Giant Paid 414 Bitcoins in Ransom to Hackers

今回のこの「ガーミン・ランサムウェア事件」というべき騒動は、ひょっとしたらサイバーセキュリティ業界史上の重要な先例・教訓となるかもしれない。