コロニアル・パイプラインへのDarkSideランサムウェア攻撃により、エネルギーインフラストラクチャが操業停止

Darkside ransomware attack on Colonial Pipeline cripples energy infrastructure

統的な経済やインフラと、現代ビジネスのデジタルな現実が重なり合っていることを示す最新の事件では、米国最大のパイプラインの1つがランサムウェアグループの攻撃を受け、先週末、操業停止を余儀なくされました。

コロニアル・パイプライン社が運営するこのパイプラインは、テキサス州ヒューストンからニューヨーク港まで5500マイル、14の州にまたがっており、米国東海岸の全燃料の約45%を供給しています。

初期の報告によると、木曜日にコロニアル社のシステムが侵害され、約100ギガバイトのデータが暗号化される前に盗まれたとされています。これは、アクロニスが今年の主要なトレンドになると予測した、流出戦略を採用した最新のランサムウェア攻撃です。

この攻撃の詳細はまだ明らかになっていませんが、現在わかっていることは以下の通りです。

パイプラインに何が起こっているのでしょうか?

コロニアルは予防措置として、業務システムへの感染によりパイプラインの運用制御システムが危険にさらされることを防ぐため、パイプラインを停止しました。コロニアルは業界の専門家と協力してサービスの復旧に努めています。その間、燃料供給が完全に中断しないようにするため、燃料の輸送をタンクローリーに移行しました。攻撃がどのくらい続くかによって、その影響の大きさも変わってきます。

コロニアル社からの最新の声明は次の通りです。「ネットワークを通常稼働させるためには、システムを入念に修復しなければならず、時間がかかってしまいます。コロニアル社のオペレーションチームは、段階的にサービスを再開できるよう、段階的なプロセスを含む計画を実行しています。」

今回の攻撃対象となったような産業用システムは、従来のITシステムよりも複雑なため、この考え方は理にかなっていると言えます。また、正確な順序で再起動する必要があるため、復旧作業はさらに煩雑になります。

具体的にどのくらいの時間がかかるかは不明ですが、完全な復旧には平均で16日間を要する可能性があるとされているため、注意が必要です。

 

攻撃者はどのようにしてシステムに侵入したのでしょうか?

この会社に侵入した最初の攻撃ベクトルはまだ明らかになっていないため、今回の事件に対し、電子メール、脆弱なパスワードあるいは、パッチが適用されていないソフトウェアが関与したかどうかは不明です。これらはいずれも一般的で効果的な攻撃ベクトルであり、2020年には電子メールがトップのベクトルとして認識されています。

今回の事件は、どのような分野の組織であっても、サイバー犯罪、特にランサムウェア攻撃の被害にあう可能性があることを示しています。

なぜ攻撃者はデータを盗み、それを暗号化したのでしょうか?

他のサイバーセキュリティアナリストと同様に、アクロニスのサイバープロテクション オペレーションセンター(CPOC)のグローバルネットワークの専門家も、ランサムウェアの攻撃者が、攻撃による金銭的な利益を最適化するための新たな方法に注目しているという新たな傾向を目にしています。ランサムウェアの犯罪者は、被害者に感染したファイルを復号化するために身代金を支払うよう要求するだけでなく、機密性の高い専有データを盗んでから暗号化し、その盗んだ情報の公開を阻止するために支払いを要求するようになっています。

実際、当社のCPOCアナリストは、最近、2,000社を超える企業がランサムウェアの攻撃を受けてデータを流出させたという証拠を見つけました。ランサムウェア犯罪者の間では、このような戦略の変化が今後も続いていくものと思われます。

ランサムウェア攻撃の背後にいるのは誰ですか?

複数のメディアが、この攻撃の背後に「DarkSide(ダークサイド)」というランサムウェアグループが存在すると報じましたが、これはFBIによって裏付けられています。

ランサムウェアグループ自身も、最終的にその関与を認め、非政治的であり、特定の政府とのつながりはないという声明を発表しました。「私たちの目的はお金を稼ぐことであり、社会に問題を起こすことではありません」

DarkSide ransomware group attacks infrastructure

特定の国家がライバルに圧力をかける手段としてサイバー攻撃を利用するケースが増えていることから、同グループはその非政治的な性質を明らかにしたようです。DarkSideグループは旧ソ連諸国とのつながりがあると推定されており(同社のランサムウェアはロシア語、カザフスタン語、ウクライナ語を話す企業を攻撃しないため)、今回の攻撃は、米国の主要なエネルギーインフラを対象としたものであるため、同グループはこの地域における米国のライバルと協力していると考えられます。

確かめる方法はありませんが、金銭的な動機は、ホワイトハウスのブリーフィングで明らかにされたものと一致しているようです。サイバーおよび新興技術担当の国家安全保障副顧問が、ブリーフィングで、事件はサービスとしてのランサムウェアの結果であると報告しました。

最後に

コロニアル・パイプラインへのランサムウェア攻撃は、重要インフラを狙った最初の攻撃ではなく、最後の攻撃でもないことは確かです。DarkSideは、病院、学校、政府機関を標的にしないと主張していますが、他のランサムウェアグループは標的にします。さらに、DarkSideの攻撃は、適切な企業を標的にするだけで、経済の大部分を破壊することができます。

データやITシステムに依存している組織はすべて脆弱で、今日の世界では、あらゆる企業がそのような組織です。

だからこそ、アクロニスは、自社でIT保護を管理しているか、マネージドサービスプロバイダー(MSP)に委託しているかにかかわらず、あらゆる組織がこのような攻撃からのリスクを排除できるサイバー保護戦略を採用すべきだと考えています。