先日、米国東海岸の広範囲に燃料を供給するパイプライン大手企業、Colonial Pipelineがランサムウェア攻撃を受けました。記憶にある中でもひときわ大きな事件です。当然ながら今のところ攻撃の詳細は公になっていませんが、断片的な情報は漏れ伝わっており、その範囲で少なくとも一つのことは教訓として得られたと言えそうです。すなわち、「法執行機関へ迅速に知らせることで損害の程度を抑えることが可能である」。米国の場合、州によっては被害に遭ったら規制当局へ報告することが義務づけられていますが、報告が必須でなくても、報告することで役立つことがあるかもしれません。
ランサムウェア攻撃
5月7日、米国東海岸の燃料輸送パイプライン最大手であるColonial Pipelineが、ランサムウェアの攻撃を受けました。何台かのコンピューターが暗号化されたため、また感染がこれ以上広がらないようにするため、同社は一部の情報システムをオフラインにせざるを得ませんでした。このために東海岸一帯の燃料供給が遅延し、ガソリンの先物価格は4%上昇しました。損害を緩和するため、同社は燃料供給の増量を計画しています(英語記事)。
Colonial Pipelineは引き続きシステム復旧に当たっていますが、ブログ『Zero Day』では、問題はサービス網というより請求システムにあるのではないかとの見方を情報筋が語っています。
連邦による封鎖
現代のランサムウェア攻撃は、データを暗号化して復号の引き換えに身代金を要求するだけでなく、脅迫に利用するためデータを盗むこともします。Colonial Pipelineの場合、攻撃者たちは同社のネットワークから約100GBのデータを盗み出しています(英語記事)。
しかし、Washington Postによると、外部サイバーセキュリティ会社が迅速に状況を把握し、盗まれた情報のありかを突き止め、そのサーバーのホスティングプロバイダーへ連絡しています(英語記事)。プロバイダーはColonial Pipeline と共に事に当たっていたFBIに知らせ、また当該サーバーを切り離しました。このためにサイバー犯罪者たちはおそらく、Colonial Pipelineから盗んだ情報にアクセスできなくなったものと思われます。この迅速な対応が、少なくとも部分的には損害の緩和に貢献しました。
現状でもかなりの被害ですが、こうした動きがなければ、もっと悪い状況になっていたかもしれません。
アトリビューション
Colonial Pipelineを攻撃したのは、WindowsとLinuxの両方で動作可能なランサムウェアDarkSideであったようです。カスペルスキー製品は、このランサムウェアを「Trojan-Ransom.Win32.Darkside」および「Trojan-Ransom.Linux.Darkside」の名前で検知してブロックします。DarkSideは強力な暗号アルゴリズムを使用しており、正しい復号鍵がなければデータを復元できません。
表面上、DarkSideはオンラインサービスのプロバイダーのように見えます。DarkSide のWebサイトは、ヘルプデスクや広報部門を備えるほかプレスセンターも有し、「自分達が攻撃する動機は金銭的なものであって政治的なものではない」という宣言が掲載されています。
DarkSideグループは、攻撃の実行を担うパートナーに対し、ソフトウェアと攻撃用インフラを提供するという、サービスとしてのランサムウェア(Ransomware-as-a-Service)の形態を取っています。Colonial Pipelineを狙ったのは、こうしたパートナーの一つでした。DarkSideは声明を出し、このような社会的影響を生じさせる意図はなかった、今後はパートナーが選ぶ標的にもっと目を光らせるようにする、と釈明しました。しかし、一連の「広報活動」に連なる一声明を額面どおり受け取るのは難しいものがあります。
安全のための対策
ランサムウェアによる被害から企業を守るには、以下の点を推奨します。
- 公のネットワークからリモートデスクトップサービス(RDPなど)に対する不要な接続を禁じ、こういったサービスのパスワードは常に強力なパスワードとする。
- リモート勤務者が企業ネットワークへの接続に使用するVPNソリューションに対し、利用可能なパッチがあればすべて適用する。
- 脆弱性の悪用を防ぐため、インターネット接続するデバイスのソフトウェアはすべてアップデートする。
- 防御戦略においては、横展開の動きやデータを引き出す動きの検知に重点を置き、発信トラフィックに対して特に注意を払う。
- データは定期的にバックアップし、いざというときにバックアップデータへアクセス可能な状態にしておく。
- 脅威インテリジェンスデータを利用して、最新の攻撃戦術、攻撃テクニック、攻撃手順を把握する。
- Kaspersky Endpoint Detection and Responseのような、初期段階での攻撃阻止を助けるセキュリティソリューションを使用する。
- 企業環境のセキュリティを意識づけるため、従業員に対してトレーニングを行う。
- エクスプロイトに対抗し、いつもとは違うふるまいを検知し、悪意ある変更をロールバックしてシステムを復元することができるエンドポイント保護ソリューションを使用する。
Colonial Pipelineの例は、すぐに法執行機関へコンタクトを取ることの利点を示しています。必ず力になってもらえるという保証があるわけではありませんが、損害を最小限に抑えることができるかもしれません。