米の主要パイプライン、ランサムウェア攻撃により停止(2021.5)
○被害の概要
攻撃の経緯
コロニアル社がランサムウェアに感染、パイプラインの稼働が停止。主なタイムラインは以下の通り※1。
・5.8 ランサムウェア攻撃を受けたことが判明
パイプラインの活動を停止するとともに、セキュリティ企業による調査、法執行機関等との連携を開始
・5.10 ターミナルへの現地輸送をお小奈津と共に、一部の区画については主導による稼働を再開
・512 パイプライン操業を再開
・5.13 システムが全面的に復旧するとともに、大半の取引先への輸送を再開
被害の全容
・攻撃者集団DarkSideは、100GBに上る情報を摂取するとともに、情報システム上のデータを暗号化し、窃取したデータをインターネット上で公開すると同社を脅迫
・同社は、情報の流出による更なる攻撃や更なる感染拡大による悪影響を警戒し、自主的にパイプラインの機能を停止
・パイプライン停止の影響について
停止したパイプラインは全長5500マイルに上り、ガソリン、航空燃料など東海岸への供給の45%に相当
攻撃対象
社会への混乱の作為や人命への影響を避け、同攻撃集団は、経済目的でのターゲッティングを行うと明言しており、 今回の事象もそのポリシーに従ったものである可能背はある。
ただし、パイプライン等重要なインフラを攻撃すれば人々の生活への影響は避けられず、その点について攻撃者集団がどのような評価を行ったのかは不明確である。
○ハンドリング
検知、トリアージ
細部の経緯は不明であるが、同社がランサムウェアへの感染を察知
レスポンス
攻撃の影響から回復するまでの間、ネットワークシステムとパイプラインの機能を停止
また、5月13日、同社が暗号資産により500万ドル相当の身代金支払い応じたとの報道あり※2。DarkSide側は解読鍵を提供したものの、データの解読は円滑に進まなかったため、同社が自ら解読を行っているとのこと。
周 知
同社が直ちに関係機関に通報するとともに、HPインシデントに関する声明を発表
※ 現在同社HPはアクセスできない状態である。
○分 析
攻撃主体
FBIは、5月10に攻撃者集団がロシア語圏由来の攻撃者集団DarkSideであるとの声明を発表。現段階ではロシア政府の関与は指摘されていない。
また、同攻撃者集団のサーバがテイクダウンを受け停止していることが確認された。
攻撃手法
これまでのところインシデントが具体的にどのようなTTP、経路での攻撃によって引き起こされたものかは、現在Mandiantが調査中ではあるが、同攻撃者集団の過去のTTPについての資料はインターネット上に広く見出すことができるため、これらから同集団の一般的なTTPが推察可能である。
一般的なTTPとしては、脆弱なリモートサービスからの侵入が指摘されている※1
成功の要因
本事案においてどのような侵入経路や同社システムの脆弱性が用いられたかについては確認中
見積もられる攻撃者・攻撃企図
・攻撃はインフラやサプライチェーンへの攻撃を企図したものではなく、単純に金銭目的であるとされる。
・同Gpは政治的中立と、経済目的であり社会の混乱は意図しない旨の声明を発表している。
・また同Gpは、大企業のみをターゲットとし、RaaSを第三者が使用する場合も病院等人命にかかわる機関や特定の機関への攻撃は行わないことを確認している、とされる。
予想されるリスク
パイプライン攻撃による石油等の輸送停止は非常に大きな影響を及ぼしたものの、現状は回復しつつある。
本攻撃は金銭目的であるとされてはいるが、このような同種の攻撃が繰り返されれば、インフラ関連サービスの一時的停止や混乱が生じ社会全体への影響が出ることは避けられない。
○じ後の再発防止策
短期的対策
・パイプラインについては当該週の間に復旧し活動を再開
・今回の情報流出については各機関が実施したサーバのテイクダウンにより情報流出が防止されたことが公表された。
中長期的対策
・今後も同攻撃者集団の動向を把握するとともに、RaaSを用いた他のアクターからの攻撃に警戒する必要がある。
・米国が行ったテイクダウンの措置について、我が国としては法律的に可能なのであろうか?
○レビュー
本 事案は、幸い短期間で終了し人名への影響は出なかったものの、生活の基幹となるインフラであるパイプラインが操業停止に追い込まれたため、その潜在的影響は甚大である。
攻撃者の企図如何によっては更なる打撃を社会に与え場合によっては人命を左右するような事態を惹起することも可能である。
また、国家意思を有したもしくはそれと関連するアクターが、基幹インフラや人命にかかわるシステムを「人質」として攻撃対象にした場合、それにより不利な立場での交渉を余儀なくされる可能性がある。
この場合、平時から有事にかけてのエスカレーションに同種の攻撃を行い、それ自体により威嚇を行うだけでなく、例えば治安・国防システムに影響を及ぼすような攻撃により対象の対応を妨害するとともに、他の攻撃手段を併用して優勢を獲得することが可能となる。
○関連知識
攻撃者集団DarkSideについて
・同集団は病院や教育機関などは攻撃対象とせず、金銭目的で大企業を標的にするとされている。
出展
・MITRE ATT&CKにはDarkSideについての特出しの説明はなし。
・MalpediaにおいてDarkSideの説明あり※4
2020年に活動を開始し、自身の攻撃の他RaaSとしてのランサムウェアの提供を行っていることが確認されている。
○関連情報・資料
外国
インシデント、被害の概要
・Ransomware Cyber Attack Forced the Largest U.S. Fuel Pipeline to Shut Down (thehackernews.com) 2021.5.9
・Largest U.S. pipeline shuts down operations after ransomware attack (bleepingcomputer.com) 2021.5.9
攻撃者集団の攻撃対象へのスタンスなどについて
・DarkSide ransomware will now vet targets after pipeline cyberattack (bleepingcomputer.com) 2021.5.10
Colonial社の身代支払いについて
本インシデント及びDarkSideについての公的機関の声明
同社HP 現在アクセスを停止中
・https://www.colpipe.com/news/press-releases/media-statement-colonial-pipeline-system-disruption 2021.5.14現在
攻撃者集団・RaaS DarkSideについて
・Ransomware Cyber Attack Forced the Largest U.S. Fuel Pipeline to Shut Down (thehackernews.com) 2020.8.21
日本
・piyolog (hatenadiary.jp) 2021.5.13 ※1