このブログを検索

2021年5月12日水曜日

米国東海岸に石油を供給するコロニアルパイプラインにサイバー攻撃(身代金払う)

  今回は、202157日(金)、米国メキシコ湾岸のテキサス州ヒューストンから北東部のニューヨーク湾まで石油製品を運ぶコロニアル・パイプラインがサイバー攻撃を受け、操業を停止した事故を紹介しましたが、ハッカーからの身代金要求に対してコロニアル社は500万ドルを支払っていたことが分かったので追記しました。

< 発災施設の概要 >

■ 発災があったのは、米国ジョージア州(Georgia)アルファレッタ(Alpharetta)に本拠をおくコロニアル社の石油パイプライン施設である。

■ 事故があったのは、 石油製品をメキシコ湾岸のテキサス州ヒューストンから北東部のニューヨーク湾まで運ぶ長さ約8,800kmのコロニアル・パイプライン(Colonial Pipeline)である。コロニアル・パイプラインは、1250万バレル(40KL)の燃料を輸送しており、東海岸で消費されるガソリン、ジェット燃料、ディーゼル燃料の45%を占めている。

< 事故の状況および影響 >

事故の発生

■ 202157日(金)、米国国内最大の石油パイプラインであるコロニアル・パイプラインがサイバー攻撃を受け、同日から操業を停止した。

■ 58日(土)、コロニアル・パイプラインはランサムウェア(身代金ウイルス)によるサイバー攻撃があったと発表した。57日(金)に発覚して一部のシステムを落としたため、全パイプラインの稼働が停止した。サイバー攻撃の調査を外部企業に依頼するとともに、連邦捜査当局などに通報した。

■ 米国運輸省はこの問題を受け、59日(日)、石油の路上輸送の時間制限を緩和する措置を発表した。18の州・地区に対し、ガソリン、ディーゼル燃料、ジェット燃料など石油製品の陸上輸送について時間制限を緩和した。対象は、アラバマ州、アーカンソー州、コロンビア特別区(首都ワシントン)、デラウェア州、フロリダ州、ジョージア州、ケンタッキー州、ルイジアナ州、メリーランド州、ミシシッピ州、ニュージャージー州、ニューヨーク州、ノースカロライナ州、ペンシルヴェニア州、サウスカロライナ州、テネシー州、テキサス州、ヴァージニア州である。運輸省による輸送制限の免除によって、石油製品はトラック輸送でニューヨークまで運べるようになるが、これはパイプラインの輸送量には遠く及ばないと同社は認めている。

■ パイプラインの操業停止を受け、石油価格は週明けにも23%は上昇するだろうと複数の専門家は見ている。もし操業停止が長期化する場合は、さらに深刻な影響もあり得る。510日(月)、米国のガソリン価格は約2%高で、ヒーティングオイルも1%超上昇した。それにとどまらず、原油先物価格も約1%超上昇した。

■ コロニアル・パイプラインを攻撃したのはロシア発の犯罪集団「ダークサイド」とみられる。コロニアル・パイプライン社のネットワークに56日(木)に侵入し、100ギガバイト近いデータを盗み取ったという。データを入手した「ダークサイド」は、一部のコンピューターやサーバー上のデータをロックし、57日(金)になって「身代金」を要求。支払いがなければインターネットに漏洩すると脅しているという。

■ コロニアル・パイプライン社は、捜査当局やサイバー・セキュリティーの専門家、エネルギー省などと連携して、操業再開に向けて取り組んでいると話している。59日(日)夜には、主要4本のパイプラインはまだ停止中だが、中継地点を結ぶ支線の一部は輸送を再開したという。

■ コロニアル・パイプライン社は、「攻撃に気づいて、速やかに被害範囲を食い止めるため、一部のシステムをオフラインにした。これによって全てのパイプライン操業が一時停止し、ITシステムにも一部影響が出たが、これは急ぎ再開作業を進めている」と説明している。「完全に安全だと判断した時に初めて全システムをオンラインで復活させる」としている。

■ ロンドンを拠点とするサイバーセキュリティ会社「ディジタル・シャドウ」によると、「ダークサイド」は営利目的でサイバー攻撃を行っている。データを暗号化して盗み取るソフトウェアを開発した後、「アフィリエイト」にソフトウェアや仕様書、使い方の練習方法などを含むツールキットを提供している。「アフィリエイト」は、ランサムウェア攻撃で得た収入の一部を「ダークサイド」に納めるという仕組みだという。注);アフィリエイトとは、企業の商品やサービスを紹介して、そこから申込が入ったら報酬がもらえる仕組みのこと(別名=成果報酬型広告)

■「ダークサイド」は通常のブラウザではアクセスができない、いわゆるダークウェブ上に自分たちのサイトを置き、これまでのハッキングや盗み出した情報などの業績を並べている。ほかにも、医療機関や教育機関、葬儀関連会社や非営利団体、政府などは攻撃しないという倫理規定のページも掲示している。「ダークサイド」はこのほか、手当たり次第にログイン情報を盗み取る「アクセス・ブローカー」とも取引しているという。

被 害

■ パイプラインの制御用コンピューターが被害を受け、操業できなくなった。代替策としてタンクローリーなどの陸上輸送を行っている。

■ ハッカーからの身代金要求に対して500万ドル(約54,700万円)を支払った。

■ パイプラインに物理的な損傷はない。

< 事故の原因 >

■ 事故の原因は、ランサムウェア(身代金ウイルス)によるサイバー攻撃で、故意の過失である。

■ セキュリティー会社「ディジタル・シャドウズ」(Digital Shadows)創業者のジェイムズ・チャペル氏は、今回のパイプライン攻撃は新型コロナウイルスのパンデミック(世界的流行)の影響で起きたと指摘する。自宅から作業し、パイプラインの制御装置を操作するエンジニアが増えたからだという。チャペル氏は、「ダークサイド」はパソコンを遠隔操作できる「Team Viewer」や「Microsoft Remote Desktop」などに関係するログイン情報を買い取ったのだろうと考えている。

■ 「ディジタル・シャドウズ」 によると、セキュリティー情報に特化した検索エンジン「Shodan」などを使えば、誰でもオンライン状態のコンピューターのログイン・ポータルを調べることができる。ハッカーたちはそこに大量のユーザー名とパスワードを投入していくことで、いずれ使える組み合わせに行き当たるのだという。

< 対 応 >

■ 「ディジタル・シャドウズ」の調査によると、サイバー犯罪集団は、ロシア、ウクライナ、ベラルーシ、ジョージア、アルメニア、モルドバ、アゼルバイジャン、カザフスタン、キルギスタン、タジキスタン、トルクメニスタン、ウズベキスタンなどの旧ソビエト連邦を構成した独立国家共同体(CIS)諸国の企業への攻撃を回避しているため、ロシア語圏の国に拠点を置く可能性があるという。

■ 58日(土)、国土安全保障省サイバー・インフラ安全局(CISA)は、「ランサムウェアがあらゆる組織に脅威を及ぼすことがはっきり示された」と述べ、各方面の組織に対策強化を呼び掛けた。

■ 510日(月)、米連邦捜査局(FBI)は、今回のサイバー攻撃はハッカー集団「ダークサイド」による犯行だと断定した。これに先立ち、ダークサイドは声明を発表した。コロニアル社に直接言及していないものの、「最新のニュースについて」という見出しで「われわれの目的は金もうけであり、社会に問題を起こすことではない」と表明している。要求する金額には触れず、将来における社会的な影響を回避するため、仲間のハッカーらに対するチェックを開始すると述べた。

■ 510日(月)、コロニアル・パイプライン社は全面復旧を週末までに果たす方針を示した。同社はテキサス州からニュージャージー州へ延びているパイプラインについて、一部が段階的に復旧しつつあると説明した。今回の攻撃を受けて燃料が不足し、米東部沿岸の人口の多い地域に影響が広がるとの懸念は、これで一部和らいだ。同社がパイプラインの操業を再開するまでの間、地域の貯蔵タンク内にある在庫で需要を十分に満たせるかが当面の課題となる。

 同社によると、ノースカロライナ州グリーンズボロの貯蔵施設とメリーランド州ボルチモアを結ぶパイプラインの一部は、「既存在庫が利用可能な限られた期間」で操業を再開した。ただ、通常であればニューヨーク市場向け供給分の最大3倍近くの輸送が可能なテキサス州南部からノースカロライナ州までの区間は、操業を停止したままとなっている。

■ 510日(月)、 米国エネルギー長官は、今回のパイプライン閉鎖について、インフラがいかにサイバー攻撃の危険にさらされているかを浮き彫りにしたと指摘し、「我々がいかに完全に無防備かが分かる。通信や重要なインフラを対象としたランサムウェアによる攻撃の例が相次いでいる」と述べた。

■ 510日(月)、コロニアル社は、パイプラインの完全な運用制御を行っており、ランサムウエアが無力化されるまでは輸送を再開しないと確約した。

■ 510日(月)、米国大統領は、同サイバー攻撃についてロシアを非難しなかったものの、ハッカーか使用されたソフトウエアが「ロシアに存在する」という「証拠がある」と述べた。同大統領は、「政権はランサムウエア攻撃を巡る国際的な取り組みを目指す」と表明した上で、ロシアは「これに対処する多少の責任がある」と指摘した。米国家安全保障副補佐官(サイバー・セキュリティー担当)は、ダークサイドとロシア政府との間につながりがあるか現在調査していると明らかにした。

■ 511日(火)の関係者の情報によると、今回のサイバー攻撃は、複数の米国政府機関の協力を得た民間企業の小規模グループが事態悪化を阻止したという。サイバー攻撃に関する調査あるいは説明を受けた関係者によると、盗まれたデータが最終目的地と考えられるロシアに向かう流れを食い止めたため、コロニアル社は一部データを回収できた。今回のサイバー攻撃への対抗措置には、ホワイトハウスや連邦捜査局(FBI)、国土安全保障省サイバー・インフラ安全局(CISA)、国家安全保障局(NSA)が関与し、ハッカーらが利用していた主要サーバーを停止したという。同措置は58日(土)に行われたという。

■ 511日(火)、サイバー犯罪集団「ダークサイド」が関与を認める声明を発表した。ダークサイドは自らのウェブサイトで、「私たちの目的は金銭であり、社会で問題を起こすことではない」と表明した。また、自分たちは「政治に関心はない」とし、「地政学には関わらないし、私たちの動機は(中略)どこの国の政府とも関係ない」と主張した。さらに、コロニアル・パイプラインが攻撃対象となったのは知らなかったとし、「今日からは、私たちのパートナーが暗号化しようとする企業についてチェックし、社会に影響を及ぼさないようにする」との考えを示した。

■ 米国では、昨年、政府機関が利用するソーラーウィンズ社のネットワーク管理ソフトにロシアのハッカーによる大規模な攻撃があり、20213月にはマイクロソフト社の企業向けメールソメールソフトに対する中国関連のハッカー攻撃が発覚するなど、サイバー・セキュリティー上の問題が相次いでいる。

■ 514日(金)、コロニアル社は、東欧を拠点とするハッカーに500万ドル(約54,700万円)近くの「身代金」を支払っていたことが分かった。ランサムウエアによるとみられるテロ攻撃を受けて数時間以内に、追跡困難な暗号資産(仮想通貨)で身代金を支払ったという。東海岸の主要都市へのガソリンやジェット燃料の供給再開を急ごうと、同社に非常に大きな圧力がかかっていたことを浮き彫りにする。ハッカーは支払いを受けた後、コンピューター・ネットワークを復旧させるための暗号解読ツールをコロニアル社に提供した。ただ、このツールによる復元プロセスが非常に遅かったため、独自のバックアップも使い続けて復旧につなげたと、事情に詳しい関係者は話している。コロニアル社は、5日間のシステム停止を経て、512日(水)午後5時前後に操業再開に着手したと発表した。513日(木)午前には、大半の供給先に対し燃料輸送を再開したと明らかにした。

補 足

■「ダークウェブ」とは、匿名性の高い特別なネットワーク上に構築されたウェブサイトのことである。ダークウェブは、通常のウェブとは異なり、基本的にはGoogleYahoo!などの検索エンジンの検索結果にヒットしないだけでなく、閲覧する際にも、一般的なChromeInternet Explorerなどのウェブブラウザーでは閲覧できないウェブサイトの総称である。匿名性が高いことから、ダークウェブでは違法性の高い情報や物品が多く扱われている。ダークウェブの元になった技術は、米国海軍によって開発されたものである。匿名性を確保することで、情報通信の秘匿性を確保するという目的があった。

 ダークウェブでの取引において、決済という行為は犯罪者にとってリスクが高い。クレジットカードや銀行振り込みといった旧来の手段で代金を決済しようとすると、匿名性が失われ、犯罪者への抑止力となっていた。しかし、2009年にビットコインが登場し、急激に広まっていったことで、ダークウェブの世界が一変した。暗号資産は匿名性が高いため、犯罪者が決済手段として暗号資産を使うことで、足がつくリスクを大きく低減できる。ダークウェブ上の取引が活発化する一因となった。

 ダークウェブに興味本位でアクセスすると、マルウェアに感染するなどのリスクも高く、一般ユーザーは関わるべきではない。しかし、ダークウェブというものが存在することは認識しておくべきである。最近でも数々の情報漏洩事件が日本で起きており、ダークウェブ経由で盗まれた情報が悪用される危険性を十分に理解し、取り得る限りの対策を講じていくことが必要な時代になりつつある。

■ このブログでとりあげたコンピュータのサイバー攻撃に関するものは、つぎのとおりである。

 ●「イランでサイバー攻撃が疑われる中、精油所でタンク火災」201610月)

 ●「イランのハッカーがサウジアラビアの石油化学会社へサイバー攻撃」201710月)

 ●「タンク施設におけるサイバーセキュリティの危険性」20185月)

 ●「制御システムへのサイバー攻撃が増加、いま、あなたは何ができるか?20211月)

所 感

■ 事故の原因は、コンピュータへのサイバー攻撃で、故意の過失である。「ダークサイト」というハッカーの犯罪集団が起こしたものとみられる。しかし、組織は複雑で、「ダークサイド」は営利目的でサイバー攻撃を行っているが、データを暗号化して盗み取るソフトウェアを開発した後、ソフトウェアや使い方を含むツールキットを提供し、別なハッカー集団がランサムウェア攻撃で得た収入の一部を「ダークサイド」に納めるという仕組みらしいという。

■ 今回のパイプライン攻撃は新型コロナウイルスのパンデミック(世界的流行)の影響で起きたと指摘されている。自宅から作業し、パイプラインの制御装置を操作するエンジニアが増えたからだという。この指摘が当たっているかどうかは分からないが、確かに、これまで制御システムはインターネットから切り離されており、安全だという認識だった。

 今年1月の 「制御システムへのサイバー攻撃が増加、いま、あなたは何ができるか? の所感の中で、「あなたが使っている製品がまだ侵害されていないという理由だけで、将来にわたって侵害されることは無いと考えるのは間違っている」ということを受け、考えてみれば、家庭でも「モノのインターネット」(IoT)化した住宅が出てきて、電気製品のスイッチを容易に遠隔操作できるようになっており、便利になっているが、サイバー攻撃の脅威が増加しつつあると感じると書いた。新型コロナウイルス対応で、テレワークを推奨する世の中になったが、セキュリティの問題を危惧する人もおり、それが現実になったという事例である。


備 考

 本情報はつぎのインターネット情報に基づいてまとめたものである。

     Bbc.com,  米石油パイプラインにサイバー攻撃、燃料不足の懸念 データ「人質」の犯罪集団,  May 10, 2021

     Cnn.co.jp,  米パイプライン停止させたサイバー攻撃、ロシア発の犯罪集団が関与か 元米高官,  May 10, 2021

     Bloomberg.co.jp,  米パイプラインが被害のサイバー攻撃、ロシアへのデータ流出は阻止,  May 11, 2021

    Jp.reuters.com,  原油先物は約1%上昇、米最大の石油パイプライン停止で,  May 10, 2021

    Jp.reuters.com,  サイバー攻撃の米パイプライン、週末復旧も ハッカー「目的は金」,  May 11, 2021

    Bbc.com,  米石油パイプラインのハッカーが声明 「問題起こすつもりなかった」,  May 11, 2021

  Bloomberg.co.jp, 米コロニアル、5億円超の「身代金」ハッカーに支払った-関係者,  May 14, 2021



後 記: 今回の事例を調べていて感じたことは、海外メディアが日本語による記事を出していることでした。このことは以前から分かっていましたが、今回のような大きな話題は主要な海外メディアがそろって日本語の記事を出していることに驚きました。もうひとつは、メディアの中でもコンピュータへのサイバー攻撃に関心をもち、以前から調べていたことをうかがわせる記事があったことです。今回の場合、ブログは早めに投稿した方がよいと思ったので、海外メディアの原文を確認せずにまとめました。(原文を確認しても、コンピューターのサイバー攻撃の専門用語をすぐには理解できなかったでしょうが) 
追記: ハッカーからの身代金要求に対してコロニアル社は500万ドルを支払っていたことが分かったので加えました。「被害」と「対応」に追記し、「備考」のインターネット情報(引用情報)を書き加えました。

0 件のコメント:

コメントを投稿