コロニカル・パイプライン社が支払った500万ドルの身代金

コロニカル・パイプライン社は身代金を支払うつもりは無いと各メディアが報じていましたが、どうやら事実は違った様です。早々に”ギブアップ”して500万ドルの身代金を支払っていたとBloombergがスクープ記事を出していました。

www.bloomberg.co.jp

北米最大のパイプライン運営会社、米コロニアル・パイプラインは、東欧を拠点とするハッカーに500万ドル（約５億4700万円）近くの「身代金」を支払った。取引について知る関係者２人が明らかにした。

　　コロニアルは身代金要求型コンピューターウイルス「ランサムウエア」によるとみられる攻撃を受けて数時間以内に、追跡困難な暗号資産で身代金を支払ったという。東海岸の主要都市へのガソリンやジェット燃料の供給再開を急ごうと、同社に非常に大きな圧力がかかっていたことを浮き彫りにする。

（Bloomberg記事より引用）

キタきつねの所感

ランサム被害により操業が停止してた米国最大の石油パイプラインは、12日から操業再開され、徐々に東海岸の”パニック”も解消していきそうです。

この事件前は大きな存在では無かったDarkSideランサムが攻撃したコロニカル・パイプライン社が「扇の要」であった事が、皮肉な事に事件後に米国社会が”理解させれれた”と言えるかも知れません。

今回ロシアは”関与してない”と発表していますが、重要インフラ、もっと言えば1社へのランサム攻撃によって米国社会が大きな被害を受けた事が、日本政府や、日本の重要インフラ事業者に警鐘を鳴らしたとも言えます。

そんな中、実はコロニカル・パイプライン社は脅迫を受けて「数時間」で身代金500万ドルを払っていたにも関わらず、パイプラインの操業停止の影響がまだ解消されていない、つまり、1度大きなシステムでランサム侵害を受けると、復旧がそう簡単にはいかない場合もある事を示唆しています。

Bloomberg記事では、以下の様に、データ（システム）復旧がすぐに”終わらなかった”理由としてランサムオペレータ（DarkSide）側から提供された復号ツールが「遅かった」事を挙げています。

　　ハッカーは支払いを受けた後、コンピューターネットワークを復旧させるための暗号解読ツールをコロニアルに提供した。ただこのツールによる復元プロセスが非常に遅かったため、独自のバックアップも使い続けて復旧につなげたと、事情に詳しい関係者１人は話した。

（Bloomberg記事より引用）

推測になりますが、DarkSideが容易に解読されない「強力な暗号」を使っていたという事なのだろうと思いますが、影響を受けたシステムが相当台数あったので時間がかかったとも考えられます。

SecurityBoulevardの5/10記事に、影響についての記載がありましたので、引用すると、

securityboulevard.com

東海岸の道路とジェット燃料のほぼ半分を運ぶコロニアルパイプラインは重要なインフラストラクチャであり、そのことは間違いありません。しかし、ランサムウェアのスクロットが100 GBのデータを盗んで暗号化し、パイプラインの運用に支障をきたしています。

窃取データは100GBとありました。今やテラバイト級のデータ漏えい事件も珍しくないので、この100GBのデータの中に機微なデータが含まれていたかはさておき、データ量としてはそう多くは無いと言えます。

「100GBなら復旧も容易では？」と考えてしまうのですが、上記記事も、よく見ると「暗号化」がどの程度の範囲に及んだのかは”書かれていません”。

別海外記事（Register）では、OTネットワークに影響する前に食い止められたものの、ITネットワークに大きな影響が出た可能性を指摘しています。

5月7日金曜日にパイプラインがシャットダウンした原因については、多くの憶測が飛び交っていましたが、最も可能性の高い説明は、パイプラインのポンプとバルブを制御するオペレーショナルテクノロジー（OT）を危険にさらすのではなく、ランサムウェアがバックオフィスシステムをKOしたというものです。オイルフローを監視し、それらのフローに基づいて請求レコードを生成するために使用されます。

（The Register記事より引用）※機械翻訳

バックオフィスの端末やサーバがマルウェア侵害を受けたという可能性は十分に考えられますが、説明がつかない部分も出てきます。

例えば、重要インフラ事業者であるが故に、”バックアップサイト”を持っていたと仮定すると、もう少し障害（バックアップサイトへの切替）対応は早かったはずです。

パイプライン停止が5日にも渡った事を考えると、バックアップサイトまで”暗号化”されてしまった、又は”バックアップサイトはそもそも無かった”という可能性が考えられます。

この疑問に答える情報は見つけられていませんが、ITネットワークだけに食い止められたのは不幸中の幸いだったとしても、やはりコロニカル・パイプライン社は侵害が拡大した原因＝セキュリティ脆弱点（設計又は実装ミス）を持っていた様に思います。

また、”身代金を支払った”のに、すぐに影響したシステムの復号処理=復旧が出来ないケースもある点には、日本企業も十分な留意が必要です。

※昨日CISA・FBIの注意喚起の記事を書きましたが、こちらにも出ていた様に、「バックアップから復旧」が出来るか、机上演習ではなく実際に復旧訓練をしてみる事も重要なのかと思います。

余談ですが、米国の大動脈である石油パイプライン（重要インフラ）事業者に対する身代金（ランサム）として、500万ドル（約5.5億円）はそう高いものではありません。サイバー保険で十分賄える金額かと思います。

※DarkSideの平均的な身代金要求額は20万～200万ドルと報じられていますが、REvilがAcerに突き付けた5,000万ドルは別にしても、他のランサムオペレータでは（大手企業に対し）もう少し高い額を突きつけるのが多い事から考えると、”想像以上に影響が大きくなり過ぎた”事を懸念したDarkSide側が、「妥当な額」に抑えた様にも思えます。

カスペルスキーの記事を見ると、早い段階からFBIや連邦政府に連絡されている事が書かれており、影響範囲拡大を食い止めただけでなく、DarkSideとの交渉に「FBIが顔見せ」したという事も、その要因としてあったのかも知れません。

ワシントンポスト紙によると、外部の事件捜査官は、何が起こったのか、盗まれたデータがどこにあるのかをすぐに把握し、FBIに連絡しました。次に、連邦政府は、アップロードされた情報を保持しているサーバーを所有しているISPにアプローチし、サーバーを分離しました。その結果、サイバー犯罪者はコロニアルパイプラインから盗んだ情報にアクセスできなくなった可能性があります。その迅速な行動は、少なくとも部分的に被害を軽減しました。

（Kaspersky記事より引用）※機械翻訳