Colonial Pipelineランサムウェア攻撃の再発を防ぐ方法 - TechRepublic

Colonial Pipelineランサムウェア攻撃の再発を防ぐ方法 - TechRepublic

コロニアル・パイプラインへのランサムウェア攻撃は、重要インフラに対する比較的新しい、破壊的な種類の脅威です。同社への財務的および業務上の打撃に加え、ガスと石油の安全かつ迅速な供給に依存する何百万人もの人々にも影響を与える恐れがあります。

参照:ランサムウェア:IT プロフェッショナルが知っておくべきこと(無料 PDF) (TechRepublic)

しかし、この事件は、あまりにもよく知られた物語の最新章でもある。

大規模組織が、脆弱性、パッチ未適用のシステム、あるいはソーシャルエンジニアリングを悪用したサイバー攻撃の標的となります。被害を受けた組織は、事件の調査のために政府軍を派遣し、復旧支援のためにセキュリティ企業を派遣します。二度とこのような事態を起こさないよう、リソースを強化すると約束します。そして私たちは、次の大規模組織が同じ手口で攻撃を受けるまで待つことになります。

大企業とその顧客、あるいはユーザーに影響を与えるサイバー攻撃は、それだけでも十分に悲惨なものです。しかし、国家とその国民全体に直接影響を与える攻撃は、真に壊滅的な被害をもたらす可能性があります。コロニアル・パイプラインは、影響を受けたすべての事業の復旧に取り組んでいますが、今回のインシデントは、今後、大きな後退につながる可能性があります。

「この地域の燃料価格が上昇する可能性があるだけでなく、サプライチェーン全体に影響が及ぶ可能性があります」と、NCCグループの石油・ガス業界サイバーセキュリティ専門家兼セキュリティコンサルタントであるデイモン・スモール氏は述べています。「ヒューストンの製油所から精製製品を輸送する手段も保管場所もないため、製油所は生産を減速せざるを得なくなる可能性があります。パイプラインサービスが復旧しても製油所が通常操業に戻るまでには時間がかかるため、コロニアルが今回のインシデントから回復した後も、燃料供給は最適なレベルにとどまる可能性があります。」

参照:セキュリティインシデント対応ポリシー(TechRepublic Premium)

コロニアル・パイプラインは、ガス、暖房用燃料、その他の石油製品を家庭や組織に供給しており、東海岸の燃料供給量の45%を占めています。このような大手供給業者が、なぜ深刻なサイバー攻撃に対して脆弱だったのでしょうか?

サイバーセキュリティ専門家で研修会社INEの最高コンテンツ責任者であるニール・ブリッジズ氏によると、公共システムやその他の重要インフラのセキュリティ問題は多面的である。

まず、公共事業は政府から「重要インフラ」とみなされているものの、その多くは依然として民営であり、主に利益を追求する企業だとブリッジズ氏は述べた。サイバーセキュリティは、明確な投資収益率がないまま収益に影響を与えるコストセンターとして扱われているため、この分野への支出は軽視される可能性がある。

第二に、ほとんどの重要なインフラは何年も前に「設定して放っておく」という考え方で構築されており、セキュリティは重要な要素として軽視されています。一部のメーカーは、システムへの「手放し」アプローチを組織に強制し、セキュリティ強化を行うとサポートが打ち切られたり保証が無効になったりすると脅迫している、とブリッジズ氏は付け加えました。

第三に、政府は米国立標準技術研究所(NIST)など、重要インフラに関する一定のガイドラインを定めていますが、それらは一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法のような規制と同様に執行可能ではありません。そのため、政府がサイバーセキュリティ対策の不備を理由にこれらの企業を「罰する」ことはほとんどできないとブリッジズ氏は述べています。

FBIをはじめとする関係機関は、この攻撃を、大規模で収益性の高い組織を標的とするサイバー犯罪者集団「DarkSide」によるものとしている。DarkSideが実際にどのようにColonial Pipelineの防御網を突破したかは不明であり、少なくとも公表されていない。しかし、専門家たちは独自の仮説を立てている。

「ダークサイドは、インターネットに接続された脆弱なデバイスを見つけ、それを利用してコロニアルのITビジネスネットワークに侵入した可能性が高い」とスモール氏は述べた。「マルウェアがIT部門から運用技術部門に拡散したのか、それともコロニアルが事前に業務を停止したのかは依然として不明だ。いずれにせよ、ネットワークアーキテクチャと技術的制御が精査されることになるだろう。」

参照:パスワードの管理方法: ベストプラクティスとセキュリティのヒント (無料 PDF) (TechRepublic)

多くの組織がリモートワークに移行していることも、この攻撃に影響を与えた可能性がある。

「今回の攻撃は、TeamViewerやMicrosoft Remote Desktopなどのリモートデスクトップソフトウェアを使って、より多くのエンジニアが自宅からパイプラインの制御システムにリモートアクセスしたことが原因だと多くの人が考えています」と、セキュリティプロバイダーZixのセキュリティリサーチマネージャー、トロイ・ギル氏は述べています。「パンデミックにより、より多くの従業員が在宅勤務を余儀なくされており、残念ながら多くの組織は依然としてデバイス、リモートアクセスポイント、そしてネットワーク全体のセキュリティ確保に努めて​​います。」

コロニアル・パイプラインへの攻撃は、重要インフラに対する初めての攻撃ではありません。2月には、フロリダ州の水処理施設のシステムにハッカーが遠隔アクセスし、危険な量の化学物質を同市の水道に混入する事件が発生しました。2020年には、イスラエルの水管理施設を標的とした一連のサイバー攻撃が発生しました。ブリッジズ氏によると、他の種類の重要インフラシステムも同様に脆弱です。

「水処理施設、送電網、鉄道システム、発電所など、これらはすべてコロニアル・パイプラインで見られる技術を活用しています。つまり、米国の他の地域を支えるインフラにも潜在的なサイバー攻撃が潜んでいる可能性があるということです」とブリッジズ氏は述べた。

「塩素濃度が4ppmを超えると、人体に有害になり始めます」とブリッジズ氏は付け加えた。「例えば、軍事施設全体に損害を与えたいと考える脅威アクターを想像してみてください。もし彼らが、特殊作戦基地、諜報部隊、あるいは核ミサイル部隊に水を供給する水処理施設を発見すれば、ハッキングして塩素濃度を操作し、地域全体を汚染し、基地の操業停止に追い込むことができるのです。」

重要なシステムやインフラに対するサイバー攻撃の脅威に直面し、政府と民間セクターは共に対策を強化する必要があります。どのように対応すればいいのでしょうか?まずはセキュリティを最優先に考えることです。

「石油・ガス会社と、国の重要インフラを守るためにどのような対策を講じているのかについて、率直でオープンな対話を行う必要があります」とスモール氏は述べた。「石油・ガス業界は多くの点で自主規制されています。パンデミックによって予算が削減され、ITや情報セキュリティは、資金提供元の事業部門から『不要不急』と見なされることが多くなりました。パイプライン会社を含む石油・ガス会社は、他の重要インフラほど規制が厳しくないことを考えると、連邦政府がエネルギー業界のこの分野をより詳しく調査しても不思議ではありません。」

次のステップは、主要なシステムへのアクセスを制限するゼロトラストなどのテクノロジーを実装することです。

Zentry SecurityのCOO、バート・ランキン氏は次のように述べています。「エネルギー、交通、水道、医療など、あらゆる主要インフラプロバイダーは、従業員と請負業者がより安全に業務を遂行できるようにし、重要なインフラの保護を大幅に強化するゼロトラスト・セキュリティ制御を装備または後付けする必要があります。ゼロトラスト・ネットワーク・アクセス・ソリューションは、従業員や請負業者が業務を遂行するために必要なアプリケーションのみにアクセスを制限するため、良いスタートとなるでしょう。」

Zixのトロイ・ギル氏は、FBIをはじめとする政府機関がコロニアル・パイプライン攻撃への対応に介入したことは、FBIがMicrosoft Exchangeのウェブシェルを削除して組織を保護したのと同様に、非常に重要な対策だと考えていると述べた。ギル氏はまた、組織に対し、多要素認証の導入、脆弱性の発見のための定期的なセキュリティ監査の実施、そして重要なデータの定期的なバックアップの実施を推奨した。

結局のところ、全般的にセキュリティに適切な焦点が当てられない限り、重要なインフラストラクチャは引き続き危険にさらされることになります。

「これらのランサムウェア攻撃の背後にいる人物に必要なのは、誰かが自宅のWi-Fiシステムのような安全でないネットワーク上で、許可なくノートパソコンを操作しているだけです」と、IAITAMの会長兼CEOであるバーバラ・レンビエサ氏は述べています。「公共水道システム、エネルギーパイプライン、原子力発電所、橋梁、トンネル、空港といった重要なインフラの運営者が、徹底的かつ厳格なIT資産管理に真剣に取り組まない限り、コロニアル・パイプラインへの攻撃のようなランサムウェア攻撃はますます増えていくでしょう。」

こちらもご覧ください

  • パスワードを盗むスパイウェアが英国のAndroidユーザーを狙う(TechRepublic)
  • 安全な距離を保ちながら安全に作業する:産業現場でのリモートワークはサイバーリスクを高める(TechRepublic)
  • サイバーセキュリティ:従業員を責めるのではなく、解決策の一部であると感じさせる(TechRepublic)
  • ウェブシェルについて知っておくべき5つのこと(TechRepublic)
  • サイバーセキュリティのプロになる方法:チートシート(TechRepublic)
  • ソーシャルエンジニアリング:ビジネスプロフェッショナルのためのチートシート(無料PDF)(TechRepublic)
  • シャドーITポリシー(TechRepublic Premium)
  • オンラインセキュリティ101:ハッカーやスパイからプライバシーを守るためのヒント(ZDNet)
  • サイバーセキュリティとサイバー戦争:さらに必読の記事(FlipboardのTechRepublic)

画像: ブルームバーグ/ゲッティイメージズ
Tagged: