サイバー攻撃関連 Icon
サイバー攻撃関連

コロニアル・パイプライン社へのランサムウェア攻撃
国土安全保障委員会の公聴会で語られた事件の背景とは

ホームセキュリティニュース

コロニアル・パイプライン社へのランサムウェア攻撃国土安全保障委員会の公聴会で語られた事件の背景とは

投稿日:2021年6月28日
脅威カテゴリ:ランサムウェア攻撃
執筆者:ISRセキュリティニュース編集局

2021年5月7日、犯罪者グループDarkSideからのランサムウェア攻撃を受け、アメリカ東海岸の燃料供給の約半分となる45%を担う民間企業コロニアル・パイプライン社は、1週間にわたって操業停止に追い込まれました。アメリカ最大規模のパイプラインが停止したことにより、ガソリン、ディーゼル、ジェット燃料などの貯蔵庫が大きな影響を受け、一般市民から燃料が必要不可欠な機関までをパニックに陥らせたことで、バイデン政権は最優先で対策を行うよう強いられました。

そして、5月12日にサイバーセキュリティ向上を目的としたゼロトラストアーキテクチャの導入などを含めた大統領令が発令され、2020年末にあったSolarWinds社を悪用したサイバー攻撃に続き、世界に大きなインパクトを与えた大規模なサイバー攻撃になりました。

このランサムウェア攻撃は、コロニアル・パイプライン社の情報ネットワークにあるレガシーVPNへのパスワードのみによる不正アクセスから始まっているとされ、身代金440万ドル(約4億8000万円)を支払うまでに至りました。

ランサムウェアの脅威はここ数年高まりをみせる中、今回の事件からパイプライン業界だけでなく、他民間企業、特に大手企業も狙われる可能性が十分あるということが示唆されます。そして、企業はサイバーセキュリティに対する意識を変えていくゼロトラストの採用が急がれます。

そのため、今回はゼロトラストセキュリティの必要性について、国土安全保障委員会でコロニアル・パイプライン社のCEOブラウント氏、また事件の調査を請け負ったサイバーセキュリティ企業ファイア・アイ社子会社のマンディアント社CTOのカルマカル氏が語った、攻撃を受けた原因や身代金を支払った理由を事件の真相をもとにご紹介します。

事件の経緯

犯罪者グループDarkSideは、コロニアル・パイプライン社のコンピュータシステムに侵入、わずか2時間で100GB以上の企業データを盗み、5月7日には同社を操業停止に陥らせています。
ランサムウェア攻撃を受けた同社は攻撃を受けたデータへのアクセスが不可能になるだけでなく、さらに、情報の一部をインターネット上で公開するという旨の複数の脅迫による身代金要求を受けて燃料配給のパイプラインの操業を停止、その結果、アメリカ東海岸の一部でガソリンとジェット燃料の配給が脅かされてガソリンのパニック買いが発生し、5月12日までに1000以上におよぶガソリンスタンドでガソリンが無くなってしまうというさらに悪化した状況を招きました。コロニアル・パイプライン社は身代金の支払いを行いましたが、6月7日に支払われた身代金の約85%を回収したと米司法省が発表しています。

  • 2021年4月29日:DarkSideがコロニアル・パイプライン社のコンピュータシステムに侵入
  • 2021年5月7日:データの暗号化、身代金の要求を受け、コロニアル・パイプライン社はパイプライン操業の一時停止を公表、ブラウント氏は身代金の支払いを承認
  • 2021年5月12日:パイプラインの操業を再開するも、供給網の正常化には数日かかるとの見通しを示す
  • 2021年6月7日:FBIが身代金の一部を押収
  • 2021年6月8日:ブラウント氏、上院の公聴会で事件について証言

サイバー犯罪グループ「DarkSide」とは?

DarkSideは、RaaS(Ransomware-as-a-Service)モデルを採用したサイバー犯罪グループです。開発したランサムウェアをパートナー(審査に合格したサイバー犯罪者)に提供し、そのパートナーが攻撃によって得た金額に応じて報酬を受け取るという仕組みを用いています。

コロニアル・パイプライン社へのランサムウェア攻撃では、身代金を払わない限り暗号化された情報はロックする一方で、盗んだデータをインターネット上に流出させると脅す、DarkSideの特徴の1つである二重脅迫の手法を取られたことも、身代金を支払わざるを得なかった理由の一つと考えられます。

事件発生後の5月10日、DarkSideは事件への関与を認める声明を発表しましたが、その中で政治に関心はないこと、目的はお金を稼ぐことであり社会に問題を起こすことではないことを明らかにしており、「将来の社会的影響を避けるために、我々のパートナーが暗号化を希望する企業をそれぞれチェックしていく」としています。

攻撃者がネットワークに侵入した方法 ー 発端は一つのパスワード

カルマカル氏は、国土安全保障委員会のイベントでの証言で、「今回の攻撃の最も初期の証拠はコロニアル・パイプライン社のレガシーVPNへのログイン」だと述べています。

攻撃者がどのようにしてユーザー名を入手したのか正確には分からないとしつつも、「認証情報として従業員のユーザー名とパスワードが使用されたことはわかっています。この認証情報は以前に侵害された別のウェブサイトで従業員が使用した可能性があり、それを攻撃者が利用した可能性があります」と述べており、パスワードは他のウェブサイトから盗まれインターネット上で簡単に入手できるものの一つだったとしています。

また、同社VPNにはMFA(多要素認証)が適用されていましたが、アカウントが無効化されていない未使用のレガシーVPNプロファイルがあり、そこにはMFAが適用されていなかったためにユーザー名とパスワード認証によりログインされたとのことです。

ユーザーのパスワードは長さ、特殊文字、大文字小文字の区別など、比較的複雑になっており簡単に推測できるものではありませんでしたが、ダークウェブで利用可能になっていたことが分かっています。

今回の事件では、流出した別サイトでのIDとパスワードが攻撃者に利用された可能性があります。これに限らず、推測されにくいパスワードであっても、使い回しは一般的に深刻とされている問題です。

身代金を支払った理由

ブラウント氏は、公聴会で「パイプラインが国にとってどれほど重要かは分かっています。私は国の利益を第一に考えています」と述べています。また、同社は十分な量のバックアップをとっていたにも関わらず、この支払いを決めた際の全体の被害について把握していなかったと証言しました。

最終的な復旧にはバックアップを取っていたデータを使用しましたが、身代金の支払いの決断時には、バックアップが破損していたのか、危険に晒されていたのか、あるいは使用しても安全だったのかが不確かであったとしており、確認に時間を費やすとアメリカ国内ではガソリン供給が滞ることによる被害がどんどん大きくなるため、問題を早く解決する方法として身代金440万ドル(約4億8000万円)の支払いを決めたとのことです。

シーメンス・エナジー社のヘッド・オブ・インダストリアル・セキュリティのシモノビッチ氏も、「今回の攻撃でも、他の攻撃でも、オペレータは結局、OT(オペレーショナルテクノロジー)全体の生産を停止することになります。なぜなら、何が攻撃の影響を受けたのか、どのように対応すればよいのかを確信できないからです」と述べています。

また、ブラウント氏は、パイプラインを扱う企業として燃料を安全に市民に供給することを一番重要視していたため、サイバーセキュリティやランサムウェアといったサイバー攻撃に特化した準備や対策は行っていなかったものの、緊急時対応プロセスに従い対応したと証言しています。

しかし同社は、過去1年間にTSA(運輸保安局)から受けたセキュリティ対策の評価に関する再三の申し出を断ったという報道があったことも国土安全保障委員会のイベントの冒頭で述べられています。

サイバーセキュリティへの投資が必要- ゼロトラストセキュリティへの転換

今回コロニアル・パイプライン社がランサムウェア攻撃を受け、調査から明らかになったのは、国民の生活を支える極めて重要なインフラがサイバー犯罪者にとっていとも簡単に侵入できるシステム、そして仕組みを利用していたということです。そこから、安定供給を支えるOTと並行してITのサイバーセキュリティへの投資がいかに重要かということが分かります。


ランサムウェアの脅威はここ数年高まりをみせる中、今回の事件からパイプライン業界だけでなく、他民間企業、特に大手企業も狙われる可能性が十分あるということが示唆されます。そして、企業はサイバーセキュリティに対する意識を変えていくこと、特に「すべてのアクセスを信用しない」というゼロトラストの採用が急がれます。

新型コロナウイルスの影響によって、当分の間リモートワークを継続していくことも考えると、今後ランサムウェア攻撃から企業を守るためには、ITシステムの近代化が急務であり、サイバーセキュリティ強化に対し、経営の意識を変える必要があり、経営層が一丸となりレガシーITからゼロトラストのITへの転換を始めなければなりません。

今回の事件から学ぶことのできる対応策として、まずはITの近代化に向け、パスワードのみの認証をやめて「ゼロトラストのMFA(多要素認証)」を導入することが必要です。現在普及しているワンタイムパスワードなどのMFAではなく、突破が難しいとされている、指紋や顔などの生体情報を利用してユーザー確認ができるMFAがこの「ゼロトラストのMFA」にあたります。

近年増加しているサイバー攻撃から企業の情報資産を守るため、セキュリティに対する意識や対応を大きく転換すべきときが来ているのです。

CloudGate UNOでクラウドへのアクセスを安全にしましょう