Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

重要インフラへのランサム攻撃が”虎”を刺激する

コロニアル・パイプラインがランサム攻撃によって停止した件は、短期間での復旧が難しい状況の様です。この結果、ランサムオペレータ側にとっても想像を超える事態に発展しそうな気配があります。

www.bleepingcomputer.com

DarkSideランサムウェアギャングは本日、​​新しい「プレスリリース」を投稿し、非政治的であり、攻撃される前にすべてのターゲットを精査すると述べました。

(中略)

このパイプラインは1日あたり250万バレルの精製燃料を輸送し、東海岸で消費されるすべての燃料の45%を提供するため、 米国政府 はランサムウェア事件の影響を受けた18州に非常事態を発令しました。

(Bleeping Computer記事より引用)※機械翻訳

 

キタきつねの所感

コロニアル・パイプラインは、米国のエネルギーにおける大動脈であった事から、既に米国内でのガソリン価格が高騰の兆しを見せています。

ロイターの記事によると、コロニアル側は、今週末までに「実質的に」再開できる見込みと表明している様ですが、数日止まる事で既に影響が出てしまっている事を考えると、攻撃者は「成功した」とも思えますが、そうとも言い切れない状況になりそうです。

[ニューヨーク 10日 ロイター] - 米国自動車協会(AAA)は、全米のガソリン平均小売価格が直近の週に0.06ドル上昇したと発表した。米パイプライン最大手のコロニアル・パイプラインがサイバー攻撃を受けて操業を停止した影響で、ガソリン価格は近く2014年11月以来の高値を付ける可能性がある。

ガソリン小売価格は1ガロン=2.967ドルと、2014年11月以来の高値まであと0.03ドルに迫った。

コロニアルは10日、今週末までに営業運転を「実質的」に再開できる見込みと表明した。

ロイター記事より引用)

 

攻撃者(ランサムオペレータ)について、昨日の記事も一部のセキュリティ専門家の話として触れましたが、やはり「DarkSide」である様です。FBIが下記の様に”断定”していました。

foxsecurity.hatenablog.com

 

パイプラインの停止による影響で、連邦自動車運送業安全管理局(FMCSA)は17州とコロンビア特別区地域緊急宣言を出しました。

またホワイトハウスの動きも早く、この問題に対応する為のタスクフォースが週末に設立され、10日にはバイデン大統領が、DarkSideがロシア系ハッカーであると見られる事から、「ロシアに一定の責任がある」とロシアを”口撃”しています。

www.afpbb.com

ホワイトハウス(White House)で会見したバイデン氏は、米情報機関からの情報として、今のところ「ロシア(政府)が関与したとの証拠はない」とした上で、「ただ実行犯、ランサムウエアがロシアにあるという証拠はある」と言明。「彼ら(ロシア)には、これに対処する一定の責任がある」と述べた。

(AFP記事より引用)※機械翻訳

 

恐らくこの動きにDarkSide側は「相当慌てた」様に思えます。

 

攻撃が”成功”したと思われるにも関わらず、この記事を書いている5/11時点では、DarkSideのリークサイトに「コロニカル・パイプライン」のケースは掲載されていません

しかし、彼らのプレスページは5/10に更新されていて、以下の様なコメントが出ていました。

f:id:foxcafelate:20210511110455p:plain

我々は非政治的であり、地政学には参加せず、我々を定義された政府と結びつける必要はなく、他の動機を探しています。私たちの目的は、お金を稼ぐことであり、社会に問題を起こすことではありません。今日から、私たちは節度ある行動を導入し、パートナーが暗号化を希望する各企業をチェックして、将来の社会的影響を回避します。

 

DarkSideはRaaS型の組織と言われているので、パートナー企業が「攻撃をしてはいけない所を攻撃した」として「今後は気を付ける」旨の発表をしたというのは筋が通ってはいますが、DarkSideがロシア政府から何らかの保護を受けているとの見立てをする専門家も多いので、表には出てこない関連証拠を元にして、米国政府がロシア政府に先制”口撃”をした気がします

 だがサイバーセキュリティー会社クラウドストライク(CrowdStrike)の共同創業者ドミトリ・アルペロビッチ(Dmitri Alperovitch)氏はツイッターTwitter)への投稿で、同社はダークサイドがロシア当局により保護されているとみていると説明。

 また、ウイルス対策ソフト開発企業エムシソフト(Emsisoft)のブレット・キャロー(Brett Callow)氏はNBCニュース(NBC News)に対し、ダークサイドのソフトウエアはロシア語や幾つかの東欧言語が既定言語となっているコンピューターでは動作しないように設計されていると指摘した。

AFP記事より引用)※機械翻訳

 

仮にDarkSideが”国家の支援が無い”場合、FBIやアメリカ政府の”本気の報復攻撃”が今後される事も考えられますが、絡め手も”本気”になってくる”事は間違いかと思います。

Bleeping Computerの記事では、第三者であるランサムウェア交渉会社であるCoveware等が、イランのサーバで人質となる企業等の機密データがホスティングされ、身代金の一部がイランに支払われる可能性があるとの事で、DarkSideとの交渉しなくなった旨が書かれていました。

直接的な攻撃ではなく、DarkSideのパートナーに対する圧力、そうしたものを恐れて、この異常に速いDarkSideからのプレス発表が出た様な気がします。

 

今回のパイプライン停止の影響は、今後別な所で”結果”が出てくるかも知れません。

 

※2021/5/12追記 グラハム・クラリー氏も”似たような”事懸念していました。

私がDarkSideギャングのメンバーだったとしたら、米国の法執行機関が私の身元を明らかにするために多大なリソースを投入する可能性があり、誰かが私に関する情報を連邦政府と共有したくなるかもしれないことを確かに心配しています。

 ※2021/5/12追記 DarkReading5/10記事では、ブルームバーグ記事を引用し、コロニカルパイプラインは約100GBのデータを窃取されていた事を報じています。(2重脅迫を仕掛けようとして、”怖くなって”止めている状態な様です)

www.darkreading.com

 

サイバー戦争の今

サイバー戦争の今

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 石油の採掘のイラスト

 

更新履歴

  • 2021年5月9日 AM
  • 2021年5月12日 AM 追記