米運輸保安庁(TSA)が監視対象者リストに載っていない米市民の一部を対象として、追跡・監視プログラム「Quiet Skies」を実施しているそうだ(The Boston Globeの記事、 The Next Webの記事、 The Washington Postの記事、 The Vergeの記事)。

Quiet Skiesは対象者が国内線旅客機を利用する際、出発地の空港から機内、目的地の空港まで、連邦航空保安官(FAM)のチームが追跡し、行動を監視するというものだ。対象に選ばれる基準のすべては明らかになっていないが、特定の国を訪問したことがある、監視対象者と何らかの関連が疑われる、といった基準が挙げられている。対象となる乗客は1日平均40～50名で、FAMが追跡するのは35人ほど。担当のFAMにも追跡理由がわからないことが多いという。

Boston Globeが入手したチェックリストによると、FAMは対象者の「空港や機内で着替えたり、髭を剃ったりして外見を変える」「搭乗ゲートを遠くから観察している」「最後に搭乗」といった周囲に対する注意を示す行動、「まばたきが速い」「無意識にのどぼとけが上下する」「体臭がきつい」「手汗がひどい」といった緊張感などを示す様子を記録するよう求められている。また、事前に提供された情報と外見が変わっているか、機内で眠ったか、預入手荷物の有無、携帯電話の使用、トイレの使用、到着後に利用した交通機関などもチェックすべきポイントになっている。

米アラスカ州マタヌスカ-スシトナ郡政府がサイバー攻撃を受けてコンピューターが使用できなくなり、一時はタイプライターを持ち出して使ったり、手書きで伝票を切ったりといった対応に追われたそうだ(プレスリリース、 続報、 Mashableの記事、 The Registerの記事)。

リポートによると、攻撃の始まりはトロイの木馬が送り込まれたことだ。侵入経路は電子メールの添付ファイルやリンクとみられている。トロイの木馬が活動を始めると、ユーザーのOutlook連絡先から他の政府とみられるアドレスに電子メールの拡散を開始。また、Active Directoryの管理者権限を取得すると、ドメインコントローラーの所有権を取得し、セキュリティレベルを低下させる設定をすべてのサーバーとワークステーションに適用していったという。侵入は早ければ5月3日に発生しており、発見されないまま休眠状態になっていたとみられる。

7月17日にWindows 7マシンで使用しているMcAfeeのアップデート後、このトロイの木馬が検出・削除対象となった。しかし、トロイの木馬以外のコンポーネントは検出できないままだったため、削除用のスクリプトを作成し、ユーザーパスワードの失効や管理者アカウントのパスワード変更などと合わせて実行したそうだ。ところが、この対策が攻撃者からの反撃を誘発し、500台のワークステーションほぼすべて、サーバー150台のうち120台がランサムウェアにより暗号化されてしまったとのこと。

ただし、このランサムウェアは身代金を目的としたものではなく、攻撃の隠ぺいを目的としたものとみられている。実際、身代金を支払っても解除キーが提供されることはなかったという。郡ではシステムの復旧を進めているが、バックアップサーバーやディザスターリカバリーサーバーも暗号化されてしまったため、利用できるのはオフラインの古いバックアップのようだ。そのため、FBIによる復号に望みをつないでいるとのことだ。