Written by 橋口 正樹
セキュリティ、コンプライアンス、デジタルマーケティング、趣味でラズパイオーディオに没頭中。
目次
米国東海岸のアメリカ最大級のガソリンパイプラインをもつコロニアル・パイプライン社が、ランサムウェアの攻撃を受けました。これまで多くの記事が出回っていますが、日本企業にも影響が波及していることもありまとめました。
また、エムオーテックスが取り扱うCylancePROTECTでは同ランサムウェアをブロックしたことを確認しています。
直近のダークサイド(DarkSide)ランサムウェアの攻撃事例
ニュースメディアのBloombergによると、この攻撃者は、その前日から同社に対する攻撃を開始し、約100ギガバイトに及ぶ大量のデータを盗み出した後、ランサムウェアでコンピュータをロックして支払いを要求しました。いわゆる二重の脅迫と呼ばれる手段です。コロニアル社は金曜日遅くに、東海岸のガソリン、ディーゼル、ジェット燃料の主要供給源であるパイプラインの停止を決定しましたが、再開時期については言及していません*1
更新:同社は5/15土曜日に声明を出し、通常運転に戻しています。この停止により、一時的なガソリン不足を招き、米国もサイバーセキュリティに関する大統領令を出すなど、多方面に影響が出ました。*2
*1 参考:Cybersecurity Colonial Hackers Stole Data Thursday Ahead of Shutdown – Bloomberg
*2 参考:ランサムウェア攻撃受けたColonialは「通常」運用に–攻撃関与のDarkSideは運用停止か – CNET Japan
米連邦捜査局は、コロニアル・パイプラインへの攻撃の背後にランサムウェア組織「ダークサイド(DarkSide)」が存在することを確認しました。同組織は月曜日に声明を発表し、政府や国が支援しているものとは関係がないとしたうえで、
“我々の目的は金儲けであり、社会に問題を起こすことではない “と述べました。しかし、コロニアル・パイプラインへの攻撃については直接言及していません。*3
*3 参考:U.S. Blames Criminal Group in Colonial Pipeline Hack – THE WALL STREET JOURNAL
米執筆現在時点では調査中となっていますが、同攻撃グループは日本企業のフランス拠点も同様に攻撃したとされていることが、報道などで明らかになっています。*4
*4 参考:東芝子会社 “サイバー攻撃で情報流出の可能性高い”と発表 – NHK
私たちが取り扱っているCylancePROTECTでは、「DarkSideランサムウェア」の攻撃を認識しており、このDarkSideマルウェアをブロックした証拠を持っています。
DarkSideはランサムウェア・アズ・ア・サービス(RaaS)型のマルウェアで、脅威アクターが攻撃を行い、被害者から金銭を搾取し、その収益をマルウェアの作成者に分配します。FBIは、2020年10月にDarkSideが発見されて以来、積極的に追跡しています。攻撃は2段階で行われることが多く、ネットワークにアクセスした後、脅威となる行為者はまず可能な限りデータを流出させ、その後ドライブを暗号化します。
CylancePROTECT提供元であるBlackBerryの脅威リサーチチームは、すべての既知の亜種をテストし、CylancePROTECTによって検知対象となることを確認しています。AIアンチウイルスであるため、定義ファイルではなく学習によって得られたモデルを用いているため、攻撃が行われる前の、2021年4月3日の時点で、DarkSideランサムウェアの攻撃をProtectが見事に防いだことも確認しています。万一に備えて、既知のハッシュをすべてグローバルブラックリスト(GBL)に追加し、徹底的な防御を行っています。*5
*5 参考:BlackBerry Prevents DarkSide Ransomware ? Years Before It Ever Existed – BlackBerry ThreatVector Blog
なお、この件に関してダークサイドは攻撃活動停止を表明しました。*6しかし、すでに広まったマルウェアがどどのようになるのか、攻撃者の名前が変わって攻撃は継続するのかなど、今後の状況が注目されます。その声明の中で、攻撃グループは復号キーを提供するとしていますが、例えばコロニアル社に出したものは非常に遅く、同社はデータバックアップからの復旧と並行して行う必要があったと報じられており*7、余波はしばらく観測されると考えられます。
*6 参考:Colonial Pipeline Hacker DarkSide Says It Will Shut Operations – THE WALL STREET JOURNAL
*7 参考:Cybersecurity Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom – Bloomberg
一口メモ:ランサムウェア攻撃の変化、リークサイトとは。
ランサムウェアを用いた攻撃については、過去には「ファイルが暗号化されてユーザーから利用できなくなる」ということが主であったため、対策としては「オフラインでの暗号化だ」となっていた。これは今でも有効であるが、一方で攻撃者側も、被害者が支払いに応じるよう様々な方法で追い込んでいくことが確認されている。いくつか紹介したい:
・機微情報の窃取:攻撃対象組織のファイルが窃取され、機微情報の公開に関して金銭を要求する。
・窃取データのName-and-Shameサイト(いわゆる晒し、ここではリークサイトと表現する)への公開:これらのサイトはダークウェブ(インターネットの闇サイト、Torネットワーク)にて運営されていることが多い。先の東芝の件も、セキュリティ企業がダークウェブの同リークサイトをモニターして発見したものである。
・さらに、メディアに取り上げさせる、被害者のビジネスパートナーや顧客に通知して関係悪化に仕向ける、DDoS攻撃によりサービス不能に陥らせる、などがある。
ランサムウェア攻撃が起こる前に、対策を
マルウェアの一種であるランサムウェアの事前対策は、そのほかエンドポイントのセキュリティ対策と共通しているところもあります。ランサムウェア攻撃の対策では、データバックアップや侵害を抑える対策が有効です。
・バックアップ:機微な情報、リスクの高いデータについては、単にバックアップを取得するだけでなく、オフラインで保管しておく。これに加えて、クラウドストレージを用いる場合でも、予めデータをもとに戻す手順の確立とテストは重要である。
・侵害を抑える:先に述べたように、ランサムウェア攻撃では、単にデータの暗号化による盗難だけでなく、被害者ネットワークを水平に動き回り(ラテラルムーブメント)、被害者にとって重要なデータを窃取しようとする。このため、アクティブディレクトリなどのアカウントの再確認などによる、特権ユーザーの絞り込みやルール見直しにより、そのような侵害を抑えていく。
そのほか、より一般的には、
・OSなどの脆弱性パッチはテストの上更新適用しておく。
・エンドポイントセキュリティ製品を、最新の状態で、組織に合う最良の設定で利用する。
・信頼できないウェブサイト、メールの添付ファイルやリンクをクリックなどをしない。メールゲートウェイなどでフィルタ設定も検討する。
・信頼できないWebサイトからファイルをダウンロードしない。
・不明なUSBメモリを使わない
なども有効です。
なお、本記事でご紹介したCylancePROTECTは、定義ファイルを使わず機械学習のモデルを使うため、
常に最新の状態でエンドポイント保護対策を講じることが可能です。
1ヶ月無料で何台でも体験できるキャンペーンを行っておりますので、ぜひ、お試しください。
更新不要で未知のマルウェアを99%以上※防御
CylancePROTECT無料体験キャンペーン
※2018 NSS Labs Advanced Endpoint Protection Test結果より
