PrintNightmare
セキュリティ運用

IT セキュリティチームがコロニアル社へのランサムウェア攻撃から学べること

この記事では、コロニアル社への攻撃によって浮き彫りになった、今後防御側の組織が生かすことのできるセキュリティ上の教訓をいくつか紹介します。

2021 年 5 月 7 日、東海岸のディーゼル、ガソリン、ジェット燃料の約 45 %を供給する米国の大手燃料パイプラインであるコロニアル・パイプライン社 (以下、コロニアル社) が、ハッカー集団 DarkSide の攻撃を受けたというニュースが流れました。この攻撃を受けて、同社は数日間パイプラインの操業を停止しました。

この事件については大きく報道されており、一部の報道は、一時的に操業を停止したのは、安全上の理由だけではなく、経済的な側面もあったとしています。また、事件以前から存在していた同社の IT ネットワークに問題があり、それが同社の攻撃に対する脆弱性につながったのではないかと指摘する報道もあります。加えて、サイバーセキュリティを担当する専任の経営幹部がいないことを疑問視する声もあがっています。

コロニアル社の CEO である Joseph Blount 氏は、6 月 9 日と 10 日に行われた下院国土安全保障委員会公聴会に招かれ、証言を行いました。上院・下院合わせて 4 時間に及んだ公式証言では、今回の攻撃に関する興味深い事実が明らかとなり、他の企業が同じような状況に陥ったときに役立つ重要な指針が得られました。

ここでは、この攻撃によって浮き彫りになった、今後防御側の組織が生かすことのできるセキュリティ上の教訓をいくつか紹介します。

セキュリティを優先することの必要性

今回の証言では、同社におけるサイバーセキュリティを専門とする経営幹部の不在についてはっきりとは言及されませんでしたが、特にコロニアル社のような大規模かつ社会的に重要な企業では、この点は見過ごせません。

最高情報セキュリティ責任者 (CISO) は重要な役割を担っており、企業の包括的なセキュリティプログラムとサイバーセキュリティの戦略的ビジョン、そしてビジネス上の意思決定に責任を持っています。

コロニアル社が上院で行った証言によると、過去 5 年間で約 2 億ドルが IT 部門に投資されていますが、そのうちどの程度がサイバーセキュリティに割り当てられているかは明らかにされませんでした。

組織のサイバーセキュリティの優先度を上げること、それを実行するための十分な予算があること、そして実際にセキュリティを優先的に構築するために必要な権限があることは、組織のセキュリティを確保するための重要な要素です。

CISO という役職があらゆる会社にとって最適かつ必要というわけではないかもしれませんが、CISO が会社の環境にもたらすセキュリティに関する規律と集中的な対策は必要不可欠です。

つまり、企業は少なくとも、サイバーセキュリティプログラムとインシデント対応計画の作成に投資し、積極的に行動していく必要があります。これらの計画には、適切なツールの導入やセキュリティ文化の構築から、何か問題が発生した場合の手順の把握まで、すべてが含まれていなければなりません。

デフォルトの問題

証言により、たった一つ盗まれたパスワードがネットワークへの最初の侵入の原因だったことが確認されました。

この事例では、ソフォスの Rapid Response チームが調査してきた多くのケースと同様に、リモートサービスに原因がありました。具体的には、攻撃者は盗んだパスワードを使って、多要素認証 (MFA) を有効にしていない VPN サービスにアクセスしたのです。

コロニアル社は、当該の VPN プロファイルは使用されていないと思い込んでいたようですが、このようなミスは多くの組織で発生している問題です。

同社は、MFA を有効にしていなかったにもかかわらず、パスワードは厳格な要件に準拠し十分な強度が確保されていたと説明しています。攻撃者は、以前の侵入時にパスワードを入手し、現在でも同社のネットワークで同じパスワードが有効である可能性に賭けたのかもしれません。

直接的な責任が今現在の自分にある訳ではなかったとしても、過去の侵入被害が現在の組織に大きな影響を与える可能性があることを覚えておきましょう。

強固なセキュリティ文化が定着しているとこのようなときに有利に働きます。

従業員が自分の認証情報の使用方法に注意を払うようになれば、サードパーティセキュリティ製品の問題による影響を軽減できます。さらに、仕事とプライベートの両方のアカウントで使用できるパスワードマネージャーを提供すれば、従業員のパスワード管理を強力に支援できます。

また、MFA をデフォルトでオンにし、例外的な状況が文書化されている場合にのみ、無効化するポリシーを設定することも重要です。この VPN に MFA が搭載されていなかったのは、単に設定ミスによるものかもしれませんが、セキュリティ上の大きな穴であることに変わりはありません。

この分野では、CISO または同じような役割を持つセキュリティリーダーが、組織がデフォルトで正しい対策を実施できるようなポリシーを設定することができます。

予防できれば理想的、しかし、検知は必須

調査官によると、攻撃者がネットワークに侵入していたことを示す最も早い指標は 2021 年 4 月 29 日でした。つまり、攻撃者は、2021 年 5 月 7 日のランサムウェア攻撃の少なくとも 8 日前からコロニアル社のネットワークに侵入していたことになります。

その間に侵入者が何をしていたのかを把握できなかったことが、同社がパイプラインの停止を決めた理由のひとつです。以下は、CEO の声明からの抜粋です。

「今回のケースでは、受けた被害や暗号化の状況を把握するための IT や OT システムのビジョンがなかったことが懸念され、Mandiant による世界最高クラスの専門家の助けを借りても、事態を把握するまでに数日を要しました。そこで、パイプラインを停止する決定を下したのです」

ソフォスの Rapid Response チームによると、ランサムウェアは、攻撃を受けたことを被害者が知る最初の兆候であることが多くなっています。

これは攻撃者の意図したシナリオ通りです。今日のランサムウェアのオペレーターの多くは、最終的なペイロードをリリースする時まで、完全に検出されないまま活動しようとします。ネットワークに侵入し、ネットワークに常駐し、権限を昇格させ、データを流出させた後、初めてランサムウェアを展開するのです。これには、数時間、数日、または数ヶ月かかることもあります。実際、ソフォスの「アクティブアドバーサリープレイブック 2021」によると、攻撃者の滞在時間の中央値は 11 日で、中には 6 ヶ月以上も攻撃者がネットワークに潜入していたケースもありました。

残念ながら、多くの企業がコロニアル社と同様、侵入の被害の規模を把握するのに必要な手段を持っていません。

サイバーセキュリティプログラムは不可欠ですが、それを実現するためのツールも重要です。 Endpoint Detection and Response (EDR) ツールは、攻撃を防ぐだけでなく、組織に潜む潜在的な脅威を発見するためにも非常に有効です。

セキュリティソフトウェアが脅威を検知してブロックしたからといって、それですべて完了したわけではないことに注意してください。さらに大きな問題がネットワークに潜んでいる恐れもあります。

過失を想定せよ

重要なインフラを持つ大企業であるコロニアル社は、緊急時の対応計画には慣れています。パイプラインの破裂から、立ち入り禁止区域への不審人物の侵入まで、あらゆる種類の物理的障害に対する包括的な計画を持っていることは間違いありません。しかし、サイバーセキュリティインシデントに対する対応計画についていえば、外部の侵入テストサービスを利用していると答えたものの、あまり強固ではないようです。

これは重要なことです。あらゆる規模の組織は、自社のセキュリティ対策について何らかの評価を行うべきだからです。アセスメントの一部は社内で行うことができますが、外部からのコンサルティングによる評価も必要です。内部監査だけに頼ることには、自分たちの能力に対する評価が一面的になってしまったり、「これまでもそうだったから 」という理由で妥協を受け入れてしまったりするリスクがあります。

評価を受けた後は、a) 最も弱い部分を改善する、b) 何かがうまくいかなかった場合の計画を準備する、c) 改善と対応計画に対する防御力をテストする、ためのプランを立てる必要があります。

ある企業では、四半期ごとに机上訓練を行っており、IT に関する問題をシミュレートして対処することで、準備状況を評価し、既存の計画をどのように強化できるかを研究していました。ある日の訓練では、自社のインフラに対するランサムウェアの攻撃をシミュレートし、訓練で得られた知見に基づいて対応策を調整しました。

この訓練の直後に、大規模なストレージエリアネットワーク (SAN) の障害が発生しました。皮肉なことに、この SAN の障害はランサムウェアの攻撃と非常によく似ていましたが、演習を行っていたため、このインシデントに素早く対応し回復する方法を正確に心得ていました

いつ、どのような形で問題が発生するかはわかりません。混乱やダウンタイムを最小限に抑えるためには、入念な準備をしておくことが唯一の方法です。

情報共有の重要性

公聴会では、コロニアル・パイプライン社が情報共有分析センター (ISAC) に参加しているかどうかという興味深い質問も出ました。同社は、「参加している」と回答しています。

ISAC は、重要インフラの所有者や運営者が、サイバーや物理的なセキュリティ上の脅威やその他の危険から、施設や人員、顧客を守るための支援を行っています。ISAC は、実行可能な脅威情報を収集、分析し、メンバーに配布するとともに、リスクを軽減し、耐性を高めるためのツールをメンバーに提供します。

ISAC は、同じ分野で活動する企業で構成されており、重要かつ関連性の高い脅威情報を共有することでお互いをサポートしています。ISAC は主に重要インフラ関係の企業が中心となっていますが、あなたの会社が同様のグループに参加できない (または独自に立ち上げられない) というわけではありません。

たとえば、ソフォスは、CompTIA ISAO、Global Cyber Alliance (GCA)、Cyber Threat Alliance (CTA) など、注目されている多くの共有イニシアチブに参加しています。その目的は、情報をまとめて共有することでより良い保護を提供し、攻撃に対する耐性を高めることです。

このような共有グループは、業界に特化したものである必要はなく、多くの地域の DEF CON グループのように、地域別のグループに参加することもできます。また、CISANCSCASD など、長年にわたって機密情報を保護してきた経験に基づくガイダンスを作成してきた政府機関が発行するアドバイスを活用することもできます。

結局のところ、今回のパンデミックで経験したように、サイバー犯罪者に対抗するためには、情報を集約し、集団的な対策を講ずることが一番の近道だということです。

コロニアル社は、Mandiant 社の報告書が完成した際には、その内容を公開することを約束しています。彼らがその約束を守り、私たちが彼らの経験から学ぶことができることを願います。

身代金を払う価値はほぼない

よくある質問として、企業が身代金を支払うことは問題ないのか、どうすればこのような惨劇を止められるのか、というものがあります。この 2 つの質問に対する答えは、セキュリティに関する多くの質問と同様に複雑です。

コロニアル社は、操業をできるだけ早く再開するために身代金を支払ったと述べています。残念ながら、多くの企業がこのような状況に陥っており、身代金を支払うかどうかの判断は、多くの要因によって左右されます。

たとえば、バックアップが破損していたり消失していたりしたために身代金の支払いを余儀なくされた企業の例は数多くあります。簡単なテストを行っていれば、バックアップが適切に利用できるかどうかを確認できたはずです。

また、ネットワークをできるだけ早くオンラインに復旧するためにお金を払うことを選ぶ組織もいますし、復旧費用よりも安かったために身代金を払うことを選択した組織もいます。さらに、流出したデータが販売されたり、公にされたりすることを避けるために支払いを選択する人もいます。

ランサムウェア攻撃を受けた場合の被害金額の規模は年々増大し続けており、企業は身代金の額と復旧費用の両方でコスト増に直面しています。だからこそ、インシデントの復旧計画を策定し、その有効性をテストすることが非常に重要なのです。

ソフォスの「ランサムウェアの現状 2021 年版」レポートによると、身代金を支払った企業が復旧できたのは、平均で、データの 65 % にとどまりました。すべてのデータを復旧できた企業はわずか 8 %で、29 %は半分以下しか復旧できませんでした。さらに、攻撃によって生じた損害や混乱に対処して修復作業をした上、二度とこのようなことが起こらないようにする必要があります。

支払うかどうかの判断は被害を受けた組織の裁量に委ねられていますが、予防と備えがあればどうするべきかをよりより明確に判断できるはずです。

また、ランサムウェアの攻撃をそもそも発生させないようにする方法についても、いまだ試行錯誤が続いています。わかりやすい解決策の一つは、高度な防止・検知技術を導入することで、犯罪者がネットワークに侵入することをより困難にすることでしょう。

それに加えて、動機と抑止の問題があります。現在、ランサムウェアの犯罪者が金銭的に得られる価値が、逮捕や起訴されるリスクを上回っています。そのため抑止力や処罰が機能せず、犯罪者たちは大胆に活動を展開しています。

ランサムウェア対策を成功させるためには、官民の強力なパートナーシップに加え、外交や法整備、そして私たちの生活が脅かされないような倫理的な枠組みが必要となります。6 月 13 日に発表された G7 宣言はその第一歩ですが、それがどのように実施されるのか、またコンプライアンス違反に対する罰則はどうなるのかを見守る必要があります。

助けを求めること

セキュリティやセキュリティインシデントを効果的に管理するための能力が組織内にない場合は、多くの外部のパートナーに助けを求めることができます。この問題を解決するには、自社で保有している能力と、外部に委託するべき能力を認識することが重要です。

サイバーセキュリティのスキルが社内で不足しているために、高いレベルのサイバーセキュリティ対策を維持することができないという企業の声をよく聞きます。しかし実際には、強固なセキュリティ基盤を構築するために必要なのは、高度な訓練を受けたサイバープロフェッショナルではありません。たとえば、すべてのシステム、サービス、アプリケーションにパッチが適用されていることを確認することは、ほとんどの IT プロフェッショナルが簡単に行うことができますが、これだけでもセキュリティの防御態勢を大きく改善します。

より複雑なスキルが必要になったときには、遠慮せずに助けを求めてください。ソフォスの Managed Threat Response のようなサービスは、自社では対応できない場合や、脅威ハンターのエリートチームの助けが必要な場合に、組織をサポートするために設計されています。

自社のみでこのような難局を乗り越えようとするのではなく、むしろ外部のパートナーに頼るべきです。

セキュリティ強化への道

攻撃の被害を受けてから強固なセキュリティ態勢を持っているかをチェックし始めるのでは遅すぎます。被害を受けていない今のうちに、セキュリティ成熟度の評価プログラムを利用して、自社の状況を評価し、改善できるところはすぐに改善しましょう。

要約すると、セキュリティを強化するための道筋は次のことから始まります。

  • セキュリティ対策を優先的に実施し、組織の全員が安全な組織を維持するための役割を理解すること。
  • セキュリティチームに、目標を達成するための権限と妥当な予算を与えること。
  • すべての導入および運用環境において、「デフォルトで安全」なモードを採用すること。
  • 組織のあらゆる側面を可視化し、本当の緊急事態に陥る前に問題を発見できるようにすること。
  • 深刻なマルウェア攻撃から回復する必要がある場合に備えて、計画を立てること。これにより、耐障害性が向上するだけでなく、復旧にかかる時間とコストを削減することができます。
  • セキュリティコミュニティに参加して、成功例や失敗例を共有すること。これは自社にとって有益となるだけでなく、他の人を助けることにもなります。
  • 自社が被害を受けた場合は、サイバー犯罪者に身代金を払って今後の犯罪行為を増長させるのではなく(可能であれば)、復旧と修復に注力すること。
  • 助けが本当に必要になる前に、ためらわずに助けを求めること。そうすれば、良い結果が得られるでしょう。

FBI が DarkSide に支払ったビットコインの一部を回収できたことは朗報ではありますが、それでもネットワークへの侵入はなかったことにはならず、受けた損害を元に戻すこともできません。