【セキュリテイ事故】ランサムウェア企業被害(米パイプライン)

気になる情報

【米石油パイプライン最大手のコロニアル・パイプライン個人情報流出】

認識甘いさん
認識甘いさん

外国の話だよね、日本に関係ないよね。

セキュリテイ対策が甘かった企業のせいでしょ?

残念ながら、「認識甘いさん」の考えていると明日は我が身で企業だけの問題ではない感じになってきております。

ロシアと思われるハッカー集団が犯行声明を出し、ランサムウェアを使い被害を受けてしまったようです。犯人は未だ不明ですが、実際最近でも、類似の手口でゲーム会社(CAP●ON)も被害に合っております。

今回のお話は、被害は身近にあるものだと感じて頂きたく思い記事に致します。

こんな人に最適な記事

●企業のセキュリテイ事故にあうとどれぐらい影響があるか

●ランサムウェアの被害について

英語で、【ランサム=身代金】と言う意味です。身代金誘拐とは昔よく聞きましたが、現在では、サイバー攻撃に変わってきています。

【ランサムウェアウェアとは過去記事】

事故事例

アメリカ南部テキサス州から東部にガソリンなどを供給する「コロニアル・パイプライン」のシステムが身代金を要求するサイバー攻撃を受けた。

一時的な操業停止に追い込まれたパイプラインは、全長約8800キロあまりで、アメリカ東海岸で諸費されるディーゼル、ガソリン、ジェット燃料の45%を供給している。バイデン政権は9日に緊急声明を出さざるをえなり、コロニアル社は7日に被害を食い止めるために攻撃の対象となったIT(情報技術)システムをオフラインにして業務を停止したこと、ランサムウエア攻撃を調査するためにサイバーセキュリティ専門企業を雇ったことを発表した。

引用:
先週のサイバー攻撃で操業を停止している北米最大のパイプライン運営会社、米コロニアル・パイプラインは米東部時間12日午後5時(日本時間13日午前6時)前後に操業再開に着手したことを明らかにした。

 これに先立ち、バイデン米大統領は12日、パイプラインについて、間もなく「朗報」があると期待していると述べていた。同大統領はまた、ガソリンが枯渇しつつある地域へのガソリン輸送を軍が支援するのを認める考えも示した。

「いまいち、よくわからないわ」

・8800キロ 北海道⇔那覇 4週分の距離

・7日間システムが停止に伴い、

 ガソリンが枯渇しかける、給油ができなくなるとヤバいよね・・

・日本への、原油価格の高騰が心配されますよね・・・

アメリカ東海岸 約8800kmイメージ図

犯罪組織について

ロシアに拠点を置くハッカー集団「ダークサイド」は、

「目的はお金を稼ぐことだ」とする犯行声明を出しました。


「ダークサイド」の特徴

●DarkSideはロシア語圏に由来するグループの可能性が指摘されている
●ロシア語設定された環境で暗号化をランサムウエアが行わない
●darksuppが広告において旧ソビエト系(CIS)諸国への攻撃を禁止している
●病院や教育機関なども標的外
●脅迫で得た身代金の一部を寄付する
●政治とは関係ないと表明

DarkSideランサムウエアが利用

引用:

●DarkSideは2020年8月最初に観測されたランサムウエア、および同名のグループ。Windows、Linux環境をターゲットに暗号化を行う他、他グループでも見られる二重脅迫も行う。RaaS(ransomware-as-a-service)モデルとして提供されており、アフィリエイター(ランサムウエアを被害組織で実行する役)に身代金の一部として75%~90%が支払われるとの報告がある。8 2020年11月以降に「darksupp」はロシア語圏のフォーラム(exploit.in、xss.is)においてDarkSideのRaaSの広告を開始している。最近では3月下旬に電話サービス(アフィリエイターが被害組織に身代金支払いの圧力を電話で手配)や4月中旬には被害組織に対するDDoS攻撃を開始するサービスの提供も発表している。

●侵入経路として、脆弱なリモートサービスの悪用が報告されており、TorやCobalt Strikeを介したRDP経由で被害組織との接続を行う。偵察フェーズではMimikatz、advanced_ip_scanner.exe、psexec等の定番ツールを使用した資格窃取行為が行われ、ドメイン管理権限奪取後はラテラルムーブメントが行われる。(ただし、RaaSモデルで提供されることから具体的な手法はインシデント個別に異なる可能性はある。)

ランサムウェアは

■データをロック・暗号化した⇒

  使いたかったら身代金払ってね

■実は個人情報も流出してるよ⇒

  暗号化前に窃取したファイルを公開すると脅迫

と、2段目の脅迫として被害者に金銭支払いの更なる圧力を加えるのが目的なので、被害を受けた企業も社会的信用を失うのが、巧妙な手口となっています。

予防策

感染前の予防策

■セキュリティ対策ソフトを作動させておく
■怪しいサイトには近づかない
■不用意にメール添付ファイルを開かない
■OSを最新の状態にしておく
■バックアップをとっておく

過去に事故があった、企業でもOSのパッチがあたっておらず大惨事になったのは、周知の事実です。最近のは巧妙化してきている印象があり、それぞれが意識だけではなかな難しいところはありますが、個人の場合は「外付けハードディスクのデータのバックアップ」やパソコンを丸ごと復旧できるようにリカバリーイメージをとればデータは救えるのかなと感じます。

まとめ

いかがでしたでしょうか?

今回の米石油パイプライン企業に落ち度がなかったのかと、被害者にも負い目を感じさせるような仕組みが、なんとも恐ろしいと感じりのは私だけでしょうか?

みなさんも、一人でもこうゆう物があるのだとご認識頂けたら幸いです。

最後まで見て頂きありがとうございました。

コメント