Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米石油パイプラインへのランサム攻撃

コロニアル・パイプライン社がランサム被害を受け、予防装置を含めてすべてのパイプライン操業を一時的に停止した様です。

www.nikkei.com

 

公式発表(Colonial Pipeline)

Media Statement Updated: Colonial Pipeline System Disruption

5月7日、コロニアルパイプラインカンパニーは、それがサイバーセキュリティ攻撃の犠牲者であることを知りました。それ以来、この事件にはランサムウェアが関係していると判断しました。これに対応して、特定のシステムを積極的にオフラインにして脅威を封じ込めました。これにより、すべてのパイプラインオペレーションが一時的に停止し、一部のITシステムに影響が及びました。この問題を知ると、大手のサードパーティのサイバーセキュリティ会社が関与し、進行中のこの事件の性質と範囲の調査を開始しました。法執行機関やその他の連邦機関に連絡しました。

コロニアルパイプラインは、この問題を理解して解決するための措置を講じています。現時点での私たちの主な焦点は、サービスの安全かつ効率的な復旧と、通常の運用に戻るための取り組みです。このプロセスはすでに進行中であり、私たちはこの問題に取り組み、お客様やコロニアルパイプラインに依存するお客様への混乱を最小限に抑えるために熱心に取り組んでいます

 

キタきつねの所感

米国東海岸に対するエネルギー大動脈とも言えるパイプラインは、テキサス州からニューヨーク州まで5,500マイル(約8,800キロ)にも及ぶもので、操業停止が長期間に及ぶ場合はガソリンやディーゼル価格、航空機燃料等、諸々の影響が出る事が懸念されています。

コロニアルは8日午後(日本時間9日未明)に声明を更新し、「(データ流出などと引き換えに金銭を要求する)ランサムウエアが関係している可能性があると判断した」とコメントした。

(中略)

米紙ウォール・ストリート・ジャーナルによると、コロニアルは東海岸での消費量の約45%にあたる1日1億ガロンの燃料を輸送している。自動車のガソリンやディーゼル燃料、航空機燃料など幅広い用途に使われ、米軍施設にも供給している。

日経新聞記事より引用)

 

どうやらランサム被害の様です。公式発表が現地時間の5/8の昼に更新されて、ランサムウェアが関係していると判断しました」と書かれていますので、重要インフラに対するサイバー攻撃の”成功事例”がまた1つ増えたと言えそうです。

 

コロニアル・パイプラインのサイトにパイプラインの長さが分かる地図がありましたので引用しますが、テキサス州ヒューストンからニューヨーク州の北東部のリンデンまで繋いでいる”大動脈”である事が分かります。

コロニアル・パイプラインのミッションステートメントには、"We are the energy that moves America”(私たちは、アメリカを動かすエネルギーです)と書かれていましたが、当然の事ながら防衛意識も高かったと思いますが、そうした企業でも、ランサム被害を受ける、この現実に、日本の重要インフラ企業も警戒すべきかと思います。

現時点で侵害の経緯や、影響の詳細について公式発表には「一部のITシステムに影響が及んだ」程度にしか書かれておらず、海外関連記事もいくつか見てみましたが、専門家の推測はいくつかありましたが、原因部分は”今後の調査情報待ち”な印象です。

※現在FireEyeが調査中の様です。

 

しかし、”ランサム”であると判断されている事から、(コロニアル側との交渉次第では)ランサム側がリーク情報を出してくる可能性は十分に考えられます。

 

 

尚、現時点でランサムオペレータ(攻撃側)から身代金要求があったかどうかについては、コロニアルのスポークスマンはコメントしなかった様です。

誰が攻撃を開始したのか、その動機は何かなど、攻撃の正確な性質は不明でした。コロニアルパイプラインのスポークスマンは、サイバー犯罪組織からの攻撃で一般的であるように、会社が身代金要求を受け取ったかどうかについては述べませんでした

abcNEWS記事より引用)※機械翻訳

 

推測が含まれてる内容ですが、Forbesの記事では「Darkside」ランサムオペレータの関与について触れています。

www.forbes.com

 アヌラーグGurtuはチーフプロダクトオフィサーであるストライクレディ、サイバーセキュリティプラットフォーム。彼は次のように述べています。「DarkSideランサムウェアがコロニアルパイプラインシステムの攻撃にリンクされていることに関して、情報コミュニティ内でおしゃべりが行われているようです。Darksideはイタリアの起源を持っています...それは教育、ヘルスケア、および政府部門内の企業をターゲットにすることを避けると主張しています。”

(Forbes記事より引用)※機械翻訳

 

重要インフラ企業は、その影響度から「身代金を支払う」可能性が高い企業として、ランサムオペレータ(攻撃者)が今後もその「穴」を狙って攻撃を強めてくると思います。

その対象がいつ日本に向かっても何ら不思議ではありませんので、日本企業は、こうした海外のインシデント情報を把握しておく事が必要かと思います。

 

参考:

foxsecurity.hatenablog.com

 

※偶然ですが、昨日「Darkside」のリークサイト(DarkWeb)を調査していました。とは言え、コロニアル・パイプラインのリーク情報は(まだ)出ていませんでした。今後情報更新があれば、この記事又は別記事で情報を更新できればと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 石油の採掘のイラスト

 

更新履歴

  • 2021年5月9日 AM