Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

コロニアル・パイプライン事件から1年

つぶやいてみた。

この1年が色々ありすぎた事を、1年という時間の経過に感じます。

www.darkreading.com

ちょうど1年前に発生したコロニアルパイプラインの ランサムウェア攻撃は、今日でも感じられている衝撃波を全国に送りました。公開された仮想プライベートネットワーク(VPN)パスワードを介して最初に開始された、米国で最大の重要なインフラストラクチャ資産の1つに対する攻撃は言うまでもなく、このような大規模な現実世界への影響を伴うサイバー攻撃はこれまでに見られませんでした。攻撃中、脅威の攻撃者は100 GB近くのデータを盗み、その後間もなく、コロニアルパイプラインはランサムウェアのさらなる拡散を防ぐためにシステムを数日間オフラインにしました。コロニアルパイプラインの閉鎖は多くの州で石油と燃料の供給に影響を及ぼし、その結果、米国政府は非常事態を宣言しました。

(Dark Reading記事より引用)※機械翻訳

 

キタきつねの所感

米国はランサムウェアの脅威に対して、この1年で最も積極的に対策を進めた国であると言っても過言ではないかと思います。

その切っ掛けの1つとなったのは、コロニアル・パイプラインに対するDark Sideランサムグループによるランサムウェア攻撃だったのは間違いなく、米国東南部のガソリン供給に一時影響を与え、”ガスパニック”を引き起こした事は記憶に新しい所です。

米最大の石油パイプライン停止 サイバー攻撃で: 日本経済新聞

 

未だにサイバー攻撃を受け続けている米国ではありますが、重要インフラが攻撃され、市民生活にも”実害”が出たという経験によって、眠れる虎が”目を覚ました”様に思えます。

例えば、CISAが米国国民向けに提供しているStop Ransomwareといったサイトでもコンテンツ内容に”本気度”が伺えます。

※日本でもNISCがサイバーセキュリティ月間に合わせて「STOP! RANSOMWARE」という似た様な名前のサイトを立ち上げていますが、とりあえず作っただけで終わっています。

www.cisa.gov

 

去年の11月から掲載が開始されたCISAの「悪用された既知の脆弱性カタログ」による米国政府機関や企業向けの注意喚起にも、”本気度”を感じさせます。

www.cisa.gov

 

こうした背景には、米国市民に大きな影響を与えた重大インシデントが昨年前半に続いた(Colonial Pipeline以外にも食肉大手のJBS等)事も大きいのかと思いますが、バイデン大統領(米国政府)の動きも早く、ランサムウェア攻撃(≒ロシアのサイバー攻撃)に対抗するという強い意志が背景にはあった気がします。

 

ここ1年間のバイデン大統領(米国政府)のサイバー(ランサム)攻撃に対する記事を時系列で並べてみると、やはり日本とは本気度が違う事が分かるかも知れません。

 

・2021年6月

techtarget.itmedia.co.jp

 

・2021年10月

www.itmedia.co.jp

 

・2021年11月

www.sankei.com

 

・2022年3月

www.nikkei.com

japan.zdnet.com

 

こうして改めて情報を俯瞰してみると、ウクライナ情勢などもあり、サイバー空間における『時間の流れが速くなっている』気がしてなりません。

こうした流れに上手に乗れる様、私たちも情報を積極的に入手し、”咀嚼し”、その背景事情を理解する様にしていく事が求められているのだと思います。

 

余談です。

コロニアル・パイプラインのDarkSideランサムグループによる初期攻撃は、コロニアルのCEOが米国上院委員会などで証言し、普段利用していない(古いと表現されていますが)VPNアカウントの侵害だった事と発表されています。

 

あまり日本では報じられていませんが、米国では”大事件”だった事もあり、以下の様な”脆弱性”があった事が判明しています。

・多要素認証は使われていなかった

・多くのVPN機器(メンテナンス目的でリモートアクセスを使っていた様です)で”共通パスワード”だった

・パスワードは複雑なパスワードだった(Colonial123の様なものではなかった)

・コロニアルはバックアップデータを保有していたが、早期の復旧のため身代金(約440万ドル≒約5億円)を支払ったが、後にFBIが230万ドル相当のビットコイン押収した

 

こうした情報を見ると、コロニアル・パイプラインの事件の主原因は”パスワード”だった気がします。

複雑なパスワードだからと言ってフィッシングやパスワードの使い回しによってパスワードが漏洩する事もあるでしょうし、パスワード試行回数などに制限が無ければ、ツールを使って辞書攻撃などで突破されてしまう事もあるかと思います。

また、機器管理者側の問題(表に出て欲しくない”事実”)として、パスワード管理の重要性を十分に理解していたと思われる、ネットワーク管理者ですが、何十台、何百台もの管理端末のパスワードは、当然の事ながら『覚えてられなかった』ので、共通パスワードを使っていたのだろうと思われます。

※あまり大きな声では言えませんが、現場”あるある”なのが共通パスワード(又は脆弱なパスワード利用)です。過去に携わってきた案件で結構見かけた(見つけてしまった)事があります。。。

 

パスワードは脆弱である事を理解した上で、例えば解読が難しい桁数(20桁以上がおススメです)のパスフレーズを使うといった対策が重要であり、もっと言えば、重要インフラのみならず、外部に面している企業の機器(アカウント)は、多要素認証を導入すべきだと思います。

 

世界パスワードの日に合わせて、AppleGoogleMicrosoftFIDO2(パスワードレス)を今後実装していくと発表しました。こうした先進的な取り組みを参考に、パスワードレスの実現に向けて対策を進めていく事も、将来の侵害を受けないために重要かと思います。

www.watch.impress.co.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 配管パイプの背景素材

 

更新履歴

  • 2022年5月7日 AM