米国パイプライン大手企業のColonial Pipeline社への攻撃: 物理的な環境へのハッキング

今回のColonial Pipeline社への攻撃は、重要インフラに対するサイバー攻撃の脅威が高まっていることを示しているだけではなく、私たちの日常生活に不可欠なサービスを提供している企業がサイバー犯罪者にとって格好の標的となっていることも示しています。

Cameron Camp  25 May 2021

物理的なインフラに対する脅威は誇張されており空論に過ぎないという否定的な意見もありますが、攻撃を受けている組織が実際に増加しており、これは決して誇張ではありません。Colonial Pipeline社が、サイバー犯罪組織「DarkSide」によるランサムウェア攻撃を受け、その影響がメディアで大々的に報じられています。この攻撃を受けてさまざまな動きがありました。ジョー・バイデン米大統領はサイバー防衛の強化に向けた大統領令に署名し、Colonial Pipeline社は操業を再開させました。一方、DarkSideは、活動を停止したと主張していますが、Colonial Pipeline社がこの犯罪組織に500万ドルもの身代金を支払ったとする報道もありました。

この攻撃に関する調査が続いていますが、検出されたWin32/Filecoder.DarkSideは、2020年10月から使用されているマルウェアであり、攻撃者はセキュリティを侵害するために、国家の関与が疑われるような精巧なゼロデイエクスプロイトを利用しているわけではありません。

ここ数年、潜在的な攻撃者が重要インフラを運用している組織を秘密裏に偵察しており、今回の事案のような価値の高い標的に攻撃を仕掛ける可能性について、ESETは指摘してきました。この傾向が衰える気配は一向にありません。このようなインフラを運用する企業への攻撃が過去に発生したとき、北米市場でも同様の攻撃が発生する可能性についてESETは質問を受けたことがあり、「その可能性が高い」と回答しましたが、その通りの結果となりました。

興味深いことに、NotPetya(別名:Diskoder.C)のケースでも、攻撃で実際に利用されたのは、ゼロデイの脆弱性を悪用する極めて精巧なマルウェアではありませんでした。現在の環境では、攻撃者はゼロデイの脆弱性を利用しなくても、組織に侵入できるという現実があります。

十分な時間をかけて標的のネットワークやインフラを理解し、特別に構成される攻撃シーケンスは、過去の脅威に対しても驚くほど高い効果を発揮します。

近年、重要インフラを運用している事業者はセキュリティ対策に力を入れるようになりましたが、未だに数十年前の設備、ネットワーク機器、通信プロトコルを使用しています。つまり、セキュリティが皆無に等しいあるいは非常に脆弱なシリアルプロトコル、Modbusプロトコル、または他のプロトコルを使用しています。セキュリティゲートウェイを導入し、対策を進めていますが、セキュリティ対策のギャップを見つけるのは比較的容易です。安全な通信テクノロジを導入して強化するようにもなっていますが、その取り組みはまだ始まったばかりです。

さらに、私たちが日常生活で利用している物理的なインフラの一部が停止した場合の影響の大きさも、攻撃者にとっては好都合となっています。

一方、重要インフラを運用している事業者は、シリコンバレーからセキュリティの専門家を呼び寄せ、都会から離れた山岳地帯で、老朽化したテクノロジを駆使して重要な施設を保護する仕事をさせようとしています。しかし、転職先の選択肢が大都市の新興企業であった場合、これは決して魅力的とは言えないポジションかもしれません。

電気、水道、ガス・石油、通信ネットワークが突然停止すると、重要インフラのセキュリティに再び注目が集まることになります。

また、ランサムウェア攻撃を防止する取り組みを強化している専門的なテクノロジーグループもありますが、すべてが保護され、もはや脅威ではないと思っていた数年前の脅威を、攻撃者がいまだに効果的に悪用している状況に不安を覚えます。