アルミニウム生産大手Hydro、ランサムウェア攻撃を受ける

ノルウェーの大手メーカーHydroがランサムウェア攻撃を受けました。このセキュリティインシデントを分析します。

ここ数年の間に、Kaspersky Dailyでは、組織を標的にしたランサムウェアによるインシデントをたびたび取り上げてきました。病院公共交通機関、さらには一行政区画内全体の政府関連コンピューター(英語記事)が被害を受けました。その後にワイパーの時代が到来し、世界を席巻したWannaCryExPetrBad Rabbitの大流行が多くの企業に損害を与えました。

この規模の事件は、幸いにもここ12か月ほど起きていませんでしたが、この手の攻撃の終息を意味したわけではありませんでした。3月19日、ノルウェーの大手アルミニウムメーカーであるHydroは、ランサムウェアによる攻撃を受けたこと、その影響が全社に及んでいることを発表しました。

Hydroへの攻撃:何が起きたか

記者会見に現れたHydroの広報担当者によると、Hydroのセキュリティ部門は深夜、サーバー上で異常な活動が起きていることに気づきました。感染が広がりつつあるのを目の当たりにした彼らは封じ込めを試みましたが、鎮圧できたのは一部だけでした。精錬所の隔離に成功したころには、感染はグローバルネットワークにまで広がっていました。Hydroは被害を受けたコンピューターの数を公表していませんが、従業員が35,000人であることを考えれば、おそらく相当の台数に上るでしょう。

インシデントの影響を軽減するため、Hydroのチームは24時間体制で対応にあたり、少なくとも部分的には成功しました。発電所はメインのネットワークと分離されていたため、一切影響を受けませんでした。しかし、近年自動化が著しく進んでいた精錬所は分離されておらず、ノルウェー国内にある数か所の精錬所が攻撃の影響を受けました。そのうち一部は、処理速度の遅い半手動モードではありながらも、フル稼動の状態に戻すことができたとのことです。Hydroは記者会見の後も、Facebookにて最新状況を報告しています(英語)。

非常に規模の大きい攻撃であったにもかかわらず、Hydroの操業は部分的な停止に留まりました。Windowsコンピューターは暗号化されて使用できなくなりましたが、Windows以外のOSを搭載したスマートフォンとタブレットは機能していたので、従業員はこれらを使ってコミュニケーションをとり、ビジネスニーズに対応することができました。アルミニウム精錬に使われる槽(1基1,000万ユーロほど)など高額の重要インフラは、攻撃の影響を受けなかったと見られます。また、このセキュリティインシデントによる安全上の問題は発生しておらず、この攻撃が原因で負傷した人もいませんでした。Hydroは、攻撃の影響を受けたものをすべてバックアップから復元できることを期待しています。

分析:良かった点と問題点

操業が完全に正常な状態に戻るには、時間を要すると思われます。また、このインシデントの捜査には、Hydroおよびノルウェー当局双方にとって、多大な時間と労力が必要となるでしょう。

当局は、複数の仮説があると述べています。その1つは、Hydroを攻撃したのはランサムウェア「LockerGoga」だとするものです。Bleeping Computerの記事では、このランサムウェアについて「動きが鈍い」(当社のアナリストもこの点に同意)、「(コードが)雑」、「検知を回避する努力を一切していない」と表現しています(英語記事)。身代金要求メッセージでは、コンピューターの復号化と引き換えに要求する金額は言及されておらず、代わりに連絡先アドレスが書かれていました。

このインシデントの分析はまだ完了していませんが、インシデントの前とその最中にHydroが取った行動の良かった点と問題だった点をまとめてみます。

良かった点:

  1. 発電所がメインのネットワークから分離されていたこと。このため、発電所は攻撃の影響を受けなかった。
  2. セキュリティチームが割合に早く精錬所をメインのネットワークから分離できたこと。おかげで、精錬所は(大半は半手動モードながらも)稼働を続けることができた。
  3. インシデントの後も、従業員が通常通りコミュニケーションを維持できたこと。おそらく通信サーバーが十分に保護されていて、感染の影響を受けなかったものと思われる。
  4. バックアップを取っていたこと。これにより、暗号化されたデータの復元と操業の継続に期待が持てる。
  5. サイバー保険に加入していたこと。インシデントが原因で発生したコストの一部をカバーできる。

問題だった点:

  1. ネットワークのセグメント化がおそらく適切に行われていなかったこと。適切にセグメント化されていれば、もっと簡単にランサムウェアの拡散阻止と攻撃の封じ込めを図ることができた可能性がある。
  2. Hydroが使用していたセキュリティソリューションが、ランサムウェアを捕捉できるほど堅牢ではなかったこと(LockerGogaは比較的新しいがよく知られていて、たとえば、カスペルスキーのセキュリティソリューションは、Trojan-Ransom.Win32.Crypgen.afbfとして検知する)。
  3. 導入済みのセキュリティソリューションに、ランサムウェア対策ソフトウェアを加えて強化することが可能だったこと。Kaspersky Anti-Ransomware Toolのようなツールを追加でインストールしておけば、ランサムウェアや仮想通貨マイナーなど、あらゆる種類の悪意あるソフトウェアからシステムを保護することができる。
ヒント