Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

世界的企業(Norsk Hydro)もランサム攻撃を受ける

大規模なランサム被害を受けたのは世界的な企業でした。

www.technologyreview.jp

 

 ノルウェーのアルミニウム生産企業であるハイドロ(Hydro)は、「広範な」サイバー攻撃の影響で、ほぼすべてのITシステムが停止していることを明らかにした。攻撃は3月18日夜に始まり、いまなお続いているという。

 ハイドロは、アルミニウムの生産と再生可能エネルギーを手がける世界有数の企業。現在、世界50カ国でおよそ3万5000人を雇用している。

 Webサイトも機能停止しているため、同社は現在、主な通信手段としてフェイスブックを使用している。ほとんどのITシステムが影響を受けているが、同社が運営する発電所はシステムが分離されているため正常に稼働しているという。

 ハイドロはフェイスブックへの投稿で、サイバー攻撃の影響による負傷者は出ていないものの、「世界各地の複数の事業エリアで業務に影響が出ている」と発表した。可能なところでは、手動作業に切り替えて業務を続けているという。

(MIT Tech review記事より引用)

 

■公式発表 

 Update on cyber attack March 22(3/22)

 Update on cyber attacks March 21(3/21)

 Update on the cyber attack on Hydro(3/20)

 Update: Hydro subject to cyber attack(3/19)

 Hydro subject to cyber attack(3/19)

 

◆キタきつねの所感

ランサム被害としてはかなり影響が大きかった様で、ハイドロ社は3/18夜に始まった広範な攻撃を受けてWebサイトだけではなく、ITシステムがほぼ落ちた様です。ハイドロ社はその影響からか、頻繁にリリースを更新しています。3/21時点の発表では、外部の専門家の協力の下、一歩づつシステムを復旧(リストア)している段階に見受けられ、自動作業からマニュアル作業切り替えも含め、一部の製造工程は復旧した様ですが、”完全復旧までどの程度かかるのかの見通しが無い”旨も書かれていましたので、影響はかなり長引く事が予想されます。

f:id:foxcafelate:20190324072946j:plain

 

ランサムウェアが何であったのかについて、ハイドロ社側のリリース等には何も情報がありませんが、LockerGogaであるとの記事がありました。

Norsk Hydro cyber attack: What's new? - Help Net Security

ノルウェー国家安全保障局は、それがLockerGogaであると言います。それは最終的な破壊性はバージョンによって異なります

(Help Net Security記事より引用)

 

トレンドマイクロがこの被害を受けて、英語版の記事を出しています。この手のランサムは亜種が相当数出てくるので、何の脆弱性が狙われたのかについては、専門家の分析を待つ必要がありますが、記事を読むと、被害を受けるとなかなか分析や復旧がやっかいな気がします。

www.trendmicro.com

 

LockerGogaはどのように広まりますか?
初期の分析では、LockerGogaは、それ自体では、WannaCryやPetya / NotPetyaのように増殖する機能を持っていないように見えます。

静的分析はまた、LockerGogaが感染したシステムのWi-Fiおよび/またはイーサネットネットワークアダプタを列挙していることを明らかにしました。それはそれからコマンドライン(netsh.exeインターフェイス設定インターフェイス経由でCreateProcessW関数)を通してそれらを無効にすることを試みます。 無効)外部の接続からシステムを切断します。LockerGogaは暗号化プロセスの後、現在のアカウントをログアウトする前にこのルーチンを実行します。これは注目すべき動作です。LockerGogaは、アカウントのパスワードを変更することによってユーザーをシステムからロックアウトしているため、そのファイル暗号化ルーチンはそれほど重要ではないと考えられます。

Trend Micro Blog記事より引用)※機械翻訳

 

この分析結果が今回の脆弱点だったとすれば、無線ネットワークと閉域網のどちらか、あるいは両方が狙われたと考えられそうです。(※個人的な勝手な想像では、無線ネットワークが脆弱点な気がします)

トレンドマイクロ記事からランサムの動作から考えると・・・事後対策(IT部門の作業)は絶望的と言えそうです。ある意味、WannaCryやNotPetya等の増殖型ワームよりIT部門(復旧側)の対処は難しいのではないでしょうか。

 ・感染した端末はWifiや内部ネットワークから切断される

 ・管理者ユーザアカウントは変更される(ロックアウト

 ・ファイルが暗号化(ランサム)される

 

世界的企業が数日かけても部分復旧まで至ってないのは、この感染端末の状況が原因だと思います。

 

 

また、今回の攻撃がLockerGogaの亜種だった場合、ハイドロ社は0ディ攻撃に晒されていた可能性もあり、防御(検知)が困難であったと思います。

LockerGogaのコードは、Alisa Ltd.、Kitty's Ltd.、およびMikl Limitedなど、さまざまな有効な証明書を使用してデジタル署名されています。これらの証明書はその後失効しました。有効な証明書を使用すると、ランサムウェアがシステムに侵入する可能性があります。LockerGogaにはネットワークトラフィックがないため、ネットワークベースの防御を回避できます。

LockerGogaには、サンドボックス仮想マシンVM)を回避するためのルーチンもあります。たとえば、LockerGogaの一部の亜種のメインプロセススレッドは、実行前に100回以上スリープします。これは、さまざまなランサムウェアファミリや、標的型攻撃で使用されるようなその他の脅威によって使用される手法です。機械学習ベースの検出エンジンを回避するLockerGogaのいくつかの亜種もあります。私達はまだこれらのサンドボックス対策とマシン学習防止機能を特定の亜種で検証しています。この戦術は新しいものではありません。たとえば、いくつかのCerberランサムウェア亜種は、同様のテクニックを持つことが知られています。

Trend Micro Blog記事より引用)※機械翻訳

 

 

 

ハイドロ社の事故対応(回復力)としては、マニュアル作業切替、及びFacebookでの社員への連絡を取っており、そうした緊急対応は日本企業のインシデント対応計画にも参考になりそうです。

 

世界最大級のアルミニウム生産企業がランサムウェアの影響で作業を「手動」に切り替える異常事態に - GIGAZINE

 

f:id:foxcafelate:20190324073948j:plain

 

とは言え、短期的にはマニュアル切替で対応するという事は、人的負荷も大きく、生産効率も悪いと思われますので、相当業績、全世界顧客へのアルミ供給にも影響が出てくると思われます。

 

今回ランサムの被害を受けてない例えば水力発電ダムは、ネットワークが分離されていた事から被害を受けなかった様です。Webシステム、生産系ネットワーク、(生産系)無線LANネットワーク、社内ネットワーク、、様々な企業内ネットワークがあったとして、いかに論理的/物理的にネットワーク分離がされているか、そうしたセキュリティの基本を、ハイドロ社の事件は教えてくれていると考える事ができるかも知れません。


 

ã¢ã«ããã¤ã«ã»ã¢ã«ãç®ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月24日AM(予約投稿)