海外における個人情報流出事件とその対応 第201回 契約警備員が病院のITシステムに侵入 (1)従業員によるハッキング
米国Carrell Clinicで契約警備員として勤務していた、テキサス州アーリントンの男性が逮捕されたと、6月30日、テキサス北部検察局のJames T. Jacks 司法長官代理が発表した。
国際
海外情報
逮捕されたのは、25歳のJesse William McGrawだ。McGrawは、 インターネット上で"GhostExodus"、"PhantomExodizzmo"、"Howard Daniel Bertin"、"Howard William McGraw"、"Howard Rogers"などの名前も使っていた。
供述書によると、McGrawはハッカーグループ"Electronik Tribulation Army" のリーダーだ。グループは、2009年4月から6月の間に暖房、換気、空調(HVAC)システムを管理するコンピュータや、患者の極秘情報を含むコンピュータをはじめ、Carrell Clinicの病院内のITシステムへの侵入を行った。
Carrell Clinicは1921年に創設された、整形外科を広範囲に提供する総合的な病院で、テキサス州ダラスにある。テキサス州の夏は、毎日のように100Fというから摂氏38度を超える猛暑で知られている。HVACシステムへ侵入していたことから、空調を切っていたら、患者への影響も大きかったとして問題視されている。また病院で管理している薬品の中には冷却装置を使用するものもあることから、脅威は深刻だった。
McGrawは"GhostExodus"の名前で、堂々と攻撃したHVACシステムの画像のスクリーンショットをインターネット上にポスティングしていた。他にも病院のコンピュータにマルウェアをインストールして、システムを攻撃する様子を動画に撮っている。マルウェアをインストールすることで、Carrell Clinicのコンピュータの一部はMcGrawのコントロールするボットとなっていた。
裁判所の資料によると、HVACのシステムに若干の問題が生じていて、病院の職員は、プログラム通りにアラームが機能しないことを不思議に思っていたらしい。それもそのはずで、GhostExodusがポスティングしたスクリーンショットを見ると、アラーム設定が"停止"になっていた。
さらに調査により、McGrawらが2009年7月4日当日、もしくは4日以前にDDoS攻撃を行うことを計画していたと見られている。7月4日は米国の独立記念日で祝日だ。7月4日をMcGrawはDevil's Dayと呼び、大規模なDDoS攻撃を予定。他のハッカーのサポートを呼びかけていた。
攻撃対象や詳細については今のところ分かっていない。しかし、McGrawが7月3日付で退職するための辞表を提出していたことから、捜査当局では深刻なものであった可能性を指摘している。
●警備員がスパイ気分で病院ITシステムを攻撃
McGrawはダラスの警備会社、United Protection Servicesに勤務。11:00 pm から7:00amの間、病院の警備任務に就いていた。契約警備員でしかなかったことから、コンピュータへのアクセスはなかった。
しかし、スパイ気分でYouTubeに数本の動画をアップロードしていて、その1つは『Mission Impossible』をBGMにエレベーターボタンを押し、"You're on a mission with me: Infiltration"(私と一緒に"侵入"作戦行動中だ)とカメラに向かって話す姿が記録されている。そして、「3日間眠っていない」と言いながら、セキュリティキーを用いて、病院内を歩き回り、ボットネットのソフトを仕掛けていく。
『The Registrar』の報道では、McGrawの自宅の外にはWebカムが設置されていて、誰がやってくるのか分かるようにしていたというから、スパイ気分だったようだ。3月14日付のブログで、「敵が自分に対する証拠を集めているので、証拠隠滅を行う」との書き込みを行っている。
McGrawは本人が思っているほどスパイとしては優秀ではなかったようで、証拠を隠そうとしたというが、インターネット上にいくつかの足跡を残している。例えば、動画の1つで指紋を隠すための医療用手袋を着用しているが、着用前にハッキングを試みるコンピュータのキーボードに触れている。指紋の拭き取りもしていない。また、顔が分からないようにビデオのクロッピングを行う一方で、偽のFBI身分証明書を自慢気にカメラに向かって見せていて、この証明書にMcGrawの顔写真が写っていた。
他にも、ブログやフォーラムで5月24日付のフォーラムで、HVACシステムの管理用インターフェイスのスクリーンショットをポスティング。この書き込みはwww.warezscene.orgにおいてで、GhostExodusという名前で行っていて、アイルランドに住んでいることになっている。しかし、Carrell Clinicの画像も出している。
事件が明らかになったのは、Carrell Clinicがシステム侵入に気付いたためではない…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
