5月7日はColonial Pipelineランサムウェア攻撃から1周年を迎えます。これまでの教訓を振り返ることは、組織が将来の攻撃に備える上で役立つかもしれません。複数のサイバーセキュリティ専門家が、企業が注意すべき点、そしてサイバー犯罪者が今回の攻撃から何を学んだかについて、それぞれの意見を述べました。
簡単にまとめると、ハッカーは同社のITインフラに侵入し、パイプラインの運用を停止させました。攻撃者はハッキングによって約100ギガビットのデータを盗み出し、課金システムへのアクセスを回復させる代わりに75ビットコイン(当時のレートで440万ドル)の支払いを要求しました。身代金は同社からサイバー犯罪者に支払われ、DarkSideが攻撃の背後にいる犯人として特定されました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
この攻撃からどのようなサイバーセキュリティの教訓が得られましたか?
コロニアル・パイプライン攻撃で明らかになった最も重要な事実の一つは、重要な業務部門におけるサイバーセキュリティの強化が必要だったことです。ハッキングによる大きな副作用の一つは、パイプラインからの石油供給不足がガソリンスタンドや空港にも影響を及ぼし始めたことで、サプライチェーンに問題が発生したことです。
「この分野の組織は、まだ対策を講じていないのであれば、事業の安全確保に向けて行動を起こす必要があります。これは、米国の国家安全保障にとって極めて重要な、見過ごされがちな攻撃ベクトルだからです」と、LogRhythmの最高セキュリティ責任者であるジェームズ・カーダー氏は述べています。「重要インフラの運用を可能にするためにテクノロジーを活用する組織は、シンプルなパスワード管理、脅威の検知、予防管理、そして潜在的な大惨事を迅速に阻止・特定するための対応管理に至るまで、適切な保護プロトコルを確立する必要があります。」
バイデン大統領による米国サイバーセキュリティ強化法の成立は、こうした種類の攻撃の深刻さを軽減するための方策の一つです。3月15日に成立したこの法律により、企業は一定期間内にハッキングを報告することが義務付けられ、報告しない場合は罰金が科せられるリスクがあります。
「今回の調査で分かった大きな教訓は、私たちの重要インフラは実際には私たちが考えているほど安全ではないということです」と、サンガード・アベイラビリティ・サービスのネットワークおよびセキュリティ製品管理ディレクター、マシュー・パーソンズ氏は述べています。「重要インフラ分野におけるサイバーセキュリティ体制の強化に対する意識が高まったと思います。2022年サイバーセキュリティ強化法は、重要インフラに関する要件の強化を目指しています。」
化学、重要製造、エネルギー、食品、緊急サービス、医療、IT 業界の企業も、こうした新たなランサムウェア攻撃を回避するために、自社の技術面だけでなく、従業員にベストプラクティスを身につけさせるなど、防御を強化する必要があります。
「ハッキング後に得られた教訓の一つは、古いVPNアカウントで盗まれたパスワードが一つあり、それがハッカーがネットワークに侵入して身代金を要求するための経路になっていたということです」と、サイバー・コースト・トゥ・コースト・ポッドキャストの共同ホストであるスコット・ショーバー氏は述べています。「ゼロトラスト・ネットワークでは、ユーザー名とパスワードが漏洩した場合に備えて、少なくとも追加の認証子が必要です。MFAを使用することでセキュリティレイヤーが追加され、ネットワークへの侵入が大幅に困難になります。ゼロトラストでは、各アカウントの信頼は限定的であり、アクセスはセグメント化されています。そのため、ハッカーが侵入したとしても、特定のアカウントセグメントへのアクセスが制限されているため、ネットワーク全体を横断的に攻撃することはできません。」
一方で、コロニアル・パイプラインやその他の重要インフラへの攻撃で数百万ドルが脅し取られたことで、ハッカーたちはランサムウェアがどれほど利益を生み得るかを痛感したのかもしれません。パーソンズ氏は、これほどの規模の攻撃と、それによって得られた莫大な資金が、同様のグループに大規模な悪意ある活動への取り組みを促した可能性があると述べています。
「今回の攻撃後、これらのグループにとって最大の追い風となったのは、それが実際に利益をもたらすという点だと思います」とパーソンズ氏は述べた。「彼らは、自分たちと顧客に影響を及ぼす大規模な事業を特に狙っています。これは人々に大きなパニックと混乱を引き起こす可能性があります。[ハッカーたちは]、これらの大企業がランサムウェアで侵入されれば、多額の利益が得られると気づき始めていると思います。」
攻撃の背景にある状況は残念なものでしたが、コロニアル・パイプラインへの攻撃から得られた情報は、サイバーセキュリティ分野のすべての人にとって長期的に必要だったかもしれません。様々な業界の様々な組織に自己評価を迫ることで、重要インフラ分野への次の大規模攻撃は、将来的に多大な費用と壊滅的なハッキングを回避できる可能性があります。
