米石油移送パイプライン大手のColonial Pipeline Companyは5/7(現地時間)にサイバー攻撃を受け、全パイプラインの操作を一時停止したと発表しました。
今回は当該サイバー攻撃について解説していきます。
(↑コロニアル社のプレスリリース)
【被害内容・復旧状況】
・被害を受けた米石油移送パイプライン大手「Colonial Pipeline Company」(以下、コロニアル社)は米国で最大のパイプラインを運営している。テキサス州やルイジアナ州にある数十の製油所で生成されたガソリンやジェット燃料などを、全米のタンクや空港、軍事施設に移送しており、パイプラインは5500マイル(約8850キロメートル)以上。1日あたりの輸送量は、ニューヨークの大都市圏など東海岸で消費されるおよそ45%に上る。
・コロニアル社は5/7(現地時間)にランサムウェア(※1)による攻撃を受けたことを発表し、全パイプラインの操作を一時的に停止。
・わずか2時間のうちに100ギガバイト近いデータをコロニアル社のネットワークから抜き取った模様。
・コロナウイルスのパンデミックによって、エネルギー使用が抑制されたため、今回の攻撃によって即座に混乱が生じる可能性はほとんどなかった。
・現地時間5/9 17:10時点で外部のセキュリティ会社と連携し、今回のインシデントについて調査している。
・主要なパイプラインについては未稼働であるが、一部の小規模ラインの操業は再開している。
(↑アメリカにおけるコロニアル社のパイプラインルート)
【攻撃者】
・今回攻撃に関与したのは「DarkSide」と呼ばれるハッカー集団と考えられます。
・「DarkSide」はロシア、ウクライナ、ベラルーシ等、旧ソ連に該当する企業への攻撃は避けていることから、ロシア語圏の国に拠点を置いている可能性があります。
・「DarkSide」は自身で攻撃するだけでなく、攻撃手法を他のハッカーに教えています。そのハッカーの攻撃が成功した場合、収益の一部を「DarkSide」が受け取ることができるためです。
・彼らはダークウェブ上にある自分たちのWebサイトで慈善事業に寄付を行っていることを公言しています。おそらく、目的としては「自分たちのためだけでなく、他の人たちの役にも立っている」と伝えることだと思われます。
(↑DarkSideのダークウェブ上の脅迫サイト)
【攻撃手法】
・サイバーセキュリティサービスを提供するDigital Shadows社によると、今回のサイバー攻撃はコロナにより多数のエンジニアが自宅からシステムへリモートアクセスするようになったため、発生したとのこと。
・Digital Shadows社の共同創設者であるJames Chappell氏は「DarkSideは、TeamViewer(※2)やMicrosoft Remote Desktopで使用するログイン情報をどこかから購入した」と指摘しています。
【推奨される対策】
・不正なログインを未然に防ぐために定期的にパスワードを更新することが重要です。
・今回のインシデントの直接の原因ではないかもしれませんが、パイプライン施設等、工場ではサポートが切れているOSを利用しているケースがよく見られます。
これは生産業務を行う都合上仕方ないものでありますが、工場の停止期間を活用して、新しいOSに更新することはセキュリティリスクの回避につながります。
<出典>
ITmedia NEWS「米石油パイプライン大手Colonialにサイバー攻撃 全米への石油移送を一時停止」
The NewYork Times「Cyberattack Forces a Shutdown of a Top U.S. Pipeline」
Bloomberg「Ransomware Attack Shuts Down Biggest U.S. Gasoline Pipeline」
BBC NEWS「US passes emergency waiver over fuel pipeline cyber-attack」
ロイター編集「米コロニアル・パイプラインのハッカー、大量のデータを窃盗=BBG」
<用語説明>
※1「ランサムウェア」:コンピュータウイルスの1種。利用者のシステムへのアクセスを制限し、制限を解除するために被害者がマルウェアの作者に身代金を支払うよう要求する。
※2「TeamViewer」:リモートデスクトップ、デスクトップ共有、コンピュータ間のファイル転送等を行うことができるアプリケーション。
Comments