ゼロトラスト博士のブログ

  • ゼロトラスト
  • セキュリティニュース
2021.06.07

DarkSideランサムウェア VS ゼロトラスト

  • 本ブログ記事はカニンガム博士のポッドキャスト「Zero Trust and Cyber Security News」の5月28日のエピソードを元に編集を加えたものです。

    https://open.spotify.com/episode/6KfkJTjpawqi1LQy7RloTd

米主要パイプラインへのランサムウェア攻撃でオイルショックが発生

2021年5月7日にランサムウェア攻撃によって、米国の主要パイプラインであるコロニアル・パイプラインが停止しました。このパイプラインは、ニューヨークなどが含まれる東海岸地域全体(※)の燃料供給量の45%を担っていたため、東海岸地域では、車のガソリンを買いだめをする人続出して文字通りオイルショックのような状態になり、ガソリンが空になってしまうガソリンスタンドが出てくるほどの影響が出ました。また、先物市場では、ガソリン先物価格が過去3年で最高値をつけました。

※:アメリカの東海岸地域の人口は 118,042,627人(Wikipedia調べ)。ほぼ日本の人口(1億2630万人)に匹敵。

DarkSideはRaaSで提供、仕掛けた実行犯は別グループ

この攻撃に使われたランサムウェアを作ったのはDarkSideというグループです。
ランサムウェアのビジネスにはよくある構造ですが、ランサムウェアを開発するグループと、ランサムウェア使って実際に攻撃を仕掛けるグループは別に存在しています。開発グループは、ランサムウェアをサービスとして提供し(Ransomware-as-a-Service)、実働部隊の攻撃グループがラストワンマイルの攻撃を仕掛けるという分業体制なのです。そして、DarkSideはせしめた身代金の金額に応じて事前に決められた配当を受ける仕組みです。このDarkSideの成功を目にし、世の中の金目当ての攻撃グループは高額な身代金を支払う可能性が高い大企業に標的を絞るようになっているようです。

DarkSideのRaaSは、標的型の暴露型ランサムウェアです。身代金を払わなければ暗号化する前に抜き取った機密情報を暴露するというものです。また、被害者が問い合わせる窓口としてサポートセンターを運営しており、身代金を支払えば絶対に復号鍵を渡し、搾取したデータも消去する、と謳っています。DarkSideは金さえ払えば必ず鍵は必ず渡す、という評判を広めることで、身代金が支払われる確立をあげようとしているわけです。

ランサムウェアに感染してしまった場合、対処方法は2つしかありません。1つは未発症の端末を含めてネットワーク内の全てのシステムをインストールし直し、バックアップからデータをリストアすることです。もう1つは身代金を払い、暗号化されたファイルを復号化できる鍵をもらうことです。ランサムウェアが暗号化するのはデータファイルだけでなく、システムファイルを含むこともあります。システムファイルが暗号化されれば、OSはダウンして起動できなくなります。

コロニアル・パイプラインへの攻撃はどのように行われたかは、様々なセキュリティベンダーが詳細な手口を公開しているので、そちらを見てもらえればと思いますが、簡単に言うと、脆弱なコンピュータがインターネットに露出しているのを発見した攻撃者が、そのホストの脆弱性を突いてマルウェアに感染させ、ネットワーク内部に横展開し、ネットワーク全体に広がっていった、というものです。使われた攻撃テクニックは、Tor経由でのRDP接続であったり、RDP通信をHTTPS通信にカプセリングして監視をかいくぐったり、といったものでした。

社会インフラシステムの脆弱さが露呈

正直いうと、このように重要な社会インフラがランサムウェアの被害に合うのは「予想よりも遅かったな」と思いました。社会インフラを支える制御系システムは古いOSで稼働していることが多く、未対策の脆弱性も多く、インターネットからアクセス可能なシステムも多いのです。

なぜそのような重要な社会インフラシステムのセキュリティがおざなりになっているかと言えば、社会インフラ系の組織には制御システムを動かすIT担当や運営の責任者のCIOはいても、サイバーセキュリティのためのCISOやセキュリティリーダーはいないことが普通です。コロニアル・パイプラインは、この事故の前にセキュリティリーダーの採用を始めていたようですが、その前に被害に合ってしまいました。

コロニアル・パイプラインは即座にDarkSideに$440万ドル分の身代金をビットコインで支払い、パイプラインの停止から5日後の5月12日に稼働再開しました。

ランサムウェア攻撃に対してゼロトラストは有効なのか

さて、今回のようなランサムウェア攻撃に対してゼロトラストは有効なのか、ということですが、答えはもちろんYesです。

正しくセグメンテーションし、誰が(ユーザー)、どのデバイスから、どこから(ネットワーク)、どこに(ワークロード)、いつアクセスしてきたのかが把握し、それらの要素を詳細に制御可能なテクノロジーを実装することで、ネットワーク全体を一元的に把握できるようになれば、被害を最小限に留めることができます。

今回の件に当てはめると、インターネット側に公開された脆弱なコンピュータが侵害されたとしても、他のシステムに攻撃が広がることはありません。他のコンピュータへのアクセスをさせず、かつ攻撃を察知して、完全に封じ込めることができるはずです。

しかし、ゼロトラストでも、被害をゼロにすることはできません。インターネットから隔離された「ユーザーが使わないシステム」でなければシステムは侵害される可能性があります。人が関わるシステムは間違いが起きるものです。適用しなければいけないパッチを適用することを忘れたり、設定を間違えたり、忙がしくて後回しにされたり、人による要因でセキュリティにギャップが生じる理由は無数にあります。

ゼロトラストは、システムが侵害されることを想定し、拡大を阻止するためのコントロールを適用します。人がギャップを埋めることを期待せず、全てが動的で自動化されています。こうすることで、森の中の1本の木が燃えることはあっても、森全部が燃えることは防ぐことができます。標的型ランサムウェア攻撃グループもこのような組織であれば攻撃することを諦めるでしょう。

それにしても、DarkSideは身代金のうちの何割かを手にしているはずですが、悠々自適に生きていくにはまだお金が足りないのか、まだ稼業を続けています。自分がDarkSideの人間であれば、米国がFBI、DHS、CIA、NSA、インターポールを総動員して潰しに来る前に逃げますけどね。


ブログ編集者のプロフィール

入社以来一貫して外資のITベンダーを担当。
アシストに技術者として新卒入社したが、5年目で
プロダクトマーケティングにジョブチェンジして以来18年以上従事。
Ericom社製品を2011年の立ち上げから一貫して担当。
難解なテクノロジーをわかりやすい言葉で伝えるのが得意。
サイバーセキュリティの啓蒙と普及に情熱を持って取り組む。

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者層に、サイバー攻撃被害のリスクとゼロトラストの必要性を理解してもらうには、どのような進め方が良いのか?企業が意識すべき重要なポイントと合わせてご紹介します。

  • ゼロトラスト
  • セキュアブラウジング
  • セキュリティニュース
2021.06.29

重要インフラはランサムウェア等サイバー攻撃にゼロトラストで対処せよ

重要インフラ事業者がランサムウェア攻撃グループに狙われています。 脅威の最大の侵入経路をゼロトラストのアプローチでしっかり閉じて対策しましょう。

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

FBI職員が機密情報を持ち帰って逮捕される事件が発生。2ヶ月に一度のトレーニング徹底でも発生した機密漏洩にゼロトラストができることとは?

ページの先頭へ戻る