外貨両替サービスTravelexは12月31日にランサムウェア感染が判明して全システムをオフラインにしたが、コンピューターなしで業務を継続するため店頭では手書きの伝票で対応しているそうだ(The Guardianの記事、 The Registerの記事、 The Vergeの記事、 The Next Webの記事)。

Travelexの米国版Webサイトのトップページに掲載された7日付のプレスリリース(Internet Archiveのスナップショット)によると、ランサムウェアはSodinokibiまたはREvilとして知られるもので、Travelexは感染拡大を食い止めることに成功しているという。これにより、一部のデータは暗号化されたものの、構造化された顧客データは暗号化されておらず、データが外部に送信された形跡はみつかっていないとのこと。一方、攻撃者が600万ドルの身代金を要求し、支払わなければ5GB分の個人情報を公開すると脅しているとBBC Newsが報じている。

Travelexはランサムウェアのエントリーポイントを公表していないが、SodinokibiはPulse Secure製VPNサーバーの脆弱性を利用して感染を広げているという。セキュリティ調査企業Bad PacketsはTravelexの使用しているVPNサーバーの脆弱性が未修正であることを昨年9月に通知したものの、Travelexからの応答はなかったとのこと。

Travelexの日本版Webサイトは9日の時点でトップページなど一部のページが不安定ながらもアクセス可能だったが、その後トップページは今回のランサムウェア被害の報告とサービスの提供状況を説明する内容に差し替えられている。