インフラを脅かし始めたランサムウェア攻撃 米パイプライン一時停止

 コロニアル・パイプライン(米ジョージア州)は米国南部のテキサス州と北東部のニューヨーク州を結ぶ全長約8800キロのパイプラインを運営しているエネルギーインフラの企業です。このパイプラインによってアメリカの14の州と7つの空港にガソリンやジェット燃料が提供されているということです。コロニアル・パイプラインのサービスが停止したのは現地時間の5月7日(金)でした。翌8日(土)にはコロニアル・パイプラインが声明を出し、ランサムウェアによるサイバー攻撃を受けたことが明らかになり大きなニュースとなりました。

RaaSとして展開されているDarksideランサムウェア

 米メディアやサイバーセキュリティ企業等のこれまでの情報によると、コロニアル・パイプラインへのランサムウェア攻撃は5月6日に始まり100ギガバイトのデータ窃取が行われたようです。翌7日には攻撃者に対して500万ドル近くの支払いが行われたと報じられています。そして5月12日から停止していたパイプラインが順次再開されました。この攻撃に関してはFBI(米連邦捜査局)が5月10日に声明を出し、Darksideランサムウェアがコロニアル・パイプラインを侵害したことを明らかにしました。また、翌11日にはCISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)がFBIと共同でセキュリティアドバイザリを発出しました。

 Darksideランサムウェアとはなんなのでしょうか?アメリカのサイバーセキュリティ企業、ファイア・アイのインシデント部門を担うマンディアントによれば、Darksideランサムウェアは2020年8月に登場し、RaaSとして展開されているランサムウェアです。RaaSはランサムウェアの開発者等が攻撃を実行するパートナーを募集し、パートナーがランサムウェア攻撃を行い、企業等から得た身代金を分配して犯罪収益を得る犯罪ビジネス化されたランサムウェアの形態です。Darksideランサムウェアの犯行は15カ国以上の組織にわたっているということです。マンディアントによれば、DarksideランサムウェアのRaaSはロシア語のフォーラムでdarksuppと名乗るロシア語を使うアクターによって宣伝され、今年4月には「Darkside2.0」RaaSのアップデート情報がフォーラムに投稿されたということです。

 コロニアル・パイプラインへの攻撃後、Darksideは声明を出し、攻撃は金銭目的であり、政治的な意図はないことを明らかにしました。また、社会的な影響を避けるために今後は攻撃企業を精査することを表明しました。マンディアントによるとコロニアル・パイプライン再開後の5月13日には、Darksideランサムウェアの開発者と犯罪パートナーがシェアしているサイトにブログや身代金の支払い等で使用していたサーバーを閉鎖しサービスを終了する旨の告知がされたということですが、偽装工作との見方もあるようです。

イラン核施設を狙ったStuxnet、サウジアラムコを攻撃したshamoon

 エネルギーインフラを狙ったサイバー攻撃としては、2010年に明らかになったイランの核施設を攻撃したスタックスネットがよく知られています。また、サウジアラビアの国営石油会社、サウジアラムコは2012年にマルウェアshamoonによる大規模なサイバー攻撃を受けて3万台以上ものコンピューターに被害が出ました。これまで重要インフラを狙った大規模サイバー攻撃というとなんらかの政治的な意図をもって行われ、攻撃の背後には国家が関与しているとの見方が一般になされてきました。そのため今回のコロニアル・パイプラインへの攻撃についても国家関与の憶測が流れましたが、アメリカ当局は国家との関係を直接示す事実は現状ではないとしています。さらに攻撃者自身が政治的な意図のないことを明らかにし、金銭目的であることを表明するという過去にあまり聞いたことがない展開です。

 これはランサムウェア攻撃というサイバー犯罪が、一企業や組織への被害にとどまらず重要インフラやその利用者にも及ぶ程度にまで拡大・成長していることを示唆します。一方でランサムウェア攻撃が金銭目的であったとしても、不正に得た金銭が何に使われているのかは定かでなく、ランサムウェア攻撃を行っているサイバー犯罪グループの中には明らかに国家の後援を受けて攻撃を行っていると見られているグループも存在します。

 アメリカのサイバーセキュリティ企業、パロアルトネットワークスのインシデントチームUnit42によればDarksideランサムウェアは、高額の身代金を得られる限られた企業や組織をターゲットとし、昨今の二重脅迫に加え、支払いに応じない場合はDDoS攻撃を仕掛けるなど二重・三重の恐喝を行うグループだということです。一方で支払いに応じると復号キーの提供にとどまらず窃取したデータを削除した証拠を示したり、侵入の手口を明らかにしてセキュリティ上のアドバイスをすることもあるということです。Unit42によれば、Darksideと国家との結びつきを示したリサーチャーはいないということですから、犯罪者集団によるランサムウェア攻撃がインフラをも脅かすことを今回のコロニアル・パイプラインへのサイバー攻撃は示したと言えるのかもしれません。

■出典

https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html

https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-network-disruption-at-colonial-pipeline

https://us-cert.cisa.gov/ncas/alerts/aa21-131a

https://www.bleepingcomputer.com/news/security/darkside-ransomware-will-now-vet-targets-after-pipeline-cyberattack/

https://unit42.paloaltonetworks.jp/darkside-ransomware/

https://blog.kaspersky.co.jp/pipeline-ransomware-mitigation/30681/

最新情報をチェックしよう!