米国で社会に影響を及ぼすランサムウェアが登場
今年5月に米国で石油パイプライン企業をランサムウェアが襲った。そして、パイプラインは停止し、社会的経済的損失を広範囲の地域に及ぼした。まず、何が起こったのか、以下のYahooニュースJapanの2021年5月21日付の記事を引用する。
(YahooニュースJapan5月21日付け記事)
米石油パイプライン大手Colonial Pipelineの最高経営責任者(CEO)Joseph Blount氏は、同社に壊滅的なランサムウェア攻撃を仕掛けたサイバー犯罪者への身代金の支払いを、「国ためにすべき正しいことだった」と説明した。Blount氏は、The Wall Street Journal(WSJ)の取材に対し、米国時間5月7日に従業員がシステムに残されていた脅迫状を発見した後、身代金を支払うべきだと判断し、440万ドル(約4億8000万円)の身代金を支払うことを許可したと認めた。 Colonialはランサムウェアを運用するDarkSideの攻撃を受け、パイプラインとITシステムの運用停止を余儀なくされた。同社はガソリン、ディーゼル燃料、米軍用の燃料など、米国東海岸の燃料約45%を供給しているという。この事件が公表されたことで、米国の一部の都市ではパニック買いが発生し、ガソリン価格が急騰した。顧客にはパニックが起こらないよう呼びかられていたにもかかわらず、在庫切れのガソリンスタンドが続出した。Colonialは、燃料ラインの復旧にほぼ1週間を要し、その間、最も打撃を受けた地域に可能な限り供給を続けた。WSJによると、Blount氏は、米国の中核的なエネルギーインフラ資産を扱う企業として「影響を考慮」し、440万ドルの支払いを承認した。その際、攻撃の規模やパイプラインがどのくらいの期間操業停止になるのか、不明だったという。
DarkSideは、「二重脅迫」の手口を用いて、サーバー攻撃を仕掛ける際、システムを暗号化する前に機密情報を盗み取る。そして復号ツールのための支払いを拒否すれば、データをリークサイトに公開すると脅迫する。
Blount氏は、「賛否の分かれる」判断であり、「安易に」支払いに応じたわけではないと述べた。しかし、米国のエネルギー供給に及ぼす影響を考えると正しいことだったと話した。
米連邦捜査局(FBI)は、Colonialに攻撃を仕掛けたのがDarkSideだったことを確認した。
サービスとしてのランサムウェア(RaaS)を運用していたDarkSideは、現時点でブログやサーバーが閉鎖されており、少なくともこれまでのような形態では活動を継続していないとみられている。Ellipticによると、DarkSideは少なくとも47社の被害企業から、身代金として9000万ドル(約98億円)以上の仮想通貨(暗号資産)を受け取っている。Joe Biden大統領は12日、米国のサイバーセキュリティ対策の強化を目指す大統領令に署名している。
上記の記事の様に、パイプライン会社がランサムウェアの攻撃で操業停止に追い込まれ、「国のために正しいこと」として身代金の支払いに応じたという。まさに、この一件は一企業の問題に留まらず、広範な地域にエネルギー供給がストップする事態を招いた。
ランサムウェアとは何か
そもそもランサムウェアとは何だろうか。警察庁サイバー犯罪対策プロジェクトのホームページの定義を見てみよう。
(ランサムウェアの警察庁の定義)
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称であり、コンピュータウィルスの一種です。
このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりしてしまいます。また、感染した端末の中のファイルが暗号化されるのみではなく、その端末と接続された別のストレージも暗号化される場合もあります。
そして、その制限を解除するための身代金を要求する画面を表示させるというウイルスです。
ランサムウェアの感染経路としては、主に犯罪者が送付したメールの添付ファイルを開いたり、本文中に記載されたリンク先をクリックしたりすることが考えられますが、第三者のウェブサイトを改ざんして、ウェブサイトにアクセスしただけでウイルスに感染するという仕組を構築し、多くの人にランサムウェアを感染させようとする例も確認されていますので注意しましょう。
以上が、ランサムウェアの定義である。ここにもあるように、侵入した組織の持つファイルなどのデータに暗号化を行い、身代金要求の画面を表示して、被害組織から金銭を奪うというウィルスである。また、暗号化以前に、データそのものを流出させ、それを外部に流出させるという脅しも同時に行うことが多い。
ランサムウェアDARKSIDEの手口
クラウドセキュリティ業界を牽引するZscaler(本社:米国カリフォルニア州、以下 ゼットスケーラー)は、ランサムウェアの主な傾向に関する分析結果と、勢力を広げているランサムウェア攻撃集団や、その手口、最も標的にされやすい業種に関する詳細をまとめた。この結果を表4-1に纏めた。この表では、2020年に目立った5大ランサムウェアファミリーを取り上げている。Zscaler社のこの調査で、ランサムウェアDRAKSIDEのことも取り上げている。以下、その調査資料を参照して、今回のパイプライン企業を恐喝したランサムウェア集団「Darkside」の手口を紹介する。
(ランサムウェアDRAKSIDEの特徴)
「DARKSIDE」は、2020年8月に初めて発見された比較的新しいランサムウェア(身代金要求型ウイルス)である。この攻撃はサイバー犯罪集団「Darkside」によるものでした(ランサムウェア名を「DARKSIDE」、攻撃者名を「Darkside」と表記)。
米ブルームバーグの報道によると、このサイバー犯罪集団は、標的企業の端末をロックした他、100GB以上の機密情報を窃取したとされる。
2020年8月、その活動を宣伝するプレスリリースを発表し初めて確認されたのだが、その中で「サービスとしてのランサムウェア(RaaS:Ransomware as a Service」モデルに基づくやり方で攻撃を行ってるという。図4-1にRaaSの概念モデルを示した。この図を見て頂ければ分かるように、ウィルスの開発者と攻撃者の双方が分業で任務を行い、リスクを分散する方式である。これはもはや個人ではなく、有力な組織的活動であることを示唆している。つまり、ランサムウェア・ファミリーという組織的な行動として、ランサムウェアの犯行が行われているということである。
さらに「Darkside」は、身代金要求や情報暴露に加え、DDoS攻撃などによっても脅迫を行う「四重脅迫」(Quadruple Extortion Services)と呼ばれる手口も展開している。
なお、2021年5月に前述したColonial Pipeline社を攻撃したが、その後、Darksideは同集団の攻撃は非政治的活動であり、目的は金銭的なものであることを表明した。そして、今後は標的の選定を注意することにも言及し、今回のような政治的注目を集めない形で攻撃を行うことを示唆しているという。このことは、パイプライン企業への攻撃に関し、FBIがロシアの関与を示唆し、バイデン大統領も、ロシア政府に相応の責任があると言明し、米ロ対立を象徴する政治的な事件としてみなされたことが関係していると見られる。つまり、Darksideは政治的事件と見られる事態を避ける狙いの言明であると見られる。また、被害額も当初は、約四百四十万ドルを仮想通貨で支払ったとの言明であったが、その後、被害企業は詳細を明らかにしていないが、実際には九千万ドル(約百億円)を支払ったとの未確認の報道もある。ランサムウェアの被害者は、なかなか本当のことを話さない傾向があり、この件でも事実が完全にクリアーにはなっていないようだ。
最新ランサムウェアの特徴
前述のDarksideの行う攻撃方法にあった「四重脅迫(Quadruple Extortion Services)が、従来のランサムウェアとは明らかに異なる特徴となっている。その4つの脅迫手法は以下の通りである。
(四重脅迫の4つの手順)
第1段階(従来のランサムウェア攻撃)
ファイルを暗号化した後、脅迫状を示して暗号資産での身代金支払いを要求する。従来のランサムウェアはここまでだった。
第2段階(二重脅迫)
第1段階に加え、情報流出で窃取した機密情報を暴露すると脅すことが追加される。ランサムウェア「Maze」が初めてこの手法を実行し、他の攻撃者も追随している。
第3段階(三重脅迫)
第1段階・第2段階に加え、DDoS攻撃(意図的にアクセスを集中させてサービスを停止させる)による脅迫を実行する。ランサムウェア「Avaddon」が初めてこの手法を実行した。脅迫者の強い意志を示すことで支払いを促す作戦かと思われる。
第4段階(四重脅迫)
第1~3段階に加え、被害者の顧客へメール送信やコールセンターなどからの連絡により、被害者の顧客を巻き込んで脅迫する。つまり、被害者の顧客に脅迫の範囲を拡げ、被害者に身代金の支払いを催促するものである。
このように、複合的な攻撃が行われ、被害者が身代金(それ程法外ではない金額に設定)を払った方が解決が速いし、しかも事業上プラスと判断させようと企図するのである。つまり、より攻撃手法が緻密かつ巧妙になっているのである。このような犯罪は、検挙することが一番なのだが、これらのランサムウェアファミリーが摘発された事例は極めて少ない。そして、犯行組織は国家機関の一部かあるいはその保護のもとにあるという憶測も流れている。
日本での被害事例
被害を受けているのは米国企業ばかりではない。日本企業やその海外関連企業などに2021年3月以降、表4-2に示したような被害事例が生じているという。例えば、今年4月には、大手ゼネコンの鹿島建設の海外のグループ企業が攻撃を受けて、大手テーマパークの運営会社との秘密保持契約書のほか、メールや取引先のリストなどが匿名性の高い闇サイト=ダークウェブ上に公開された。また、コンタクトレンズなどを扱う光学機器大手HOYAのアメリカの子会社が攻撃を受け、顧客の視力に関するデータが含まれた書類などが公開されたことが明らかになった。また、表4-2には無いが、去年11月には、ゲームソフト大手の「カプコン」が攻撃を受け、社員など1万5000人余りの個人情報が流出した。また、今年1月には、山形県商工会連合会が攻撃を受け職員の住所や経歴、給与などの情報が公開されたことも明らかになっている。
このような被害が生じた理由は、ランサムウェアウィルスの進化があると言われている。その第1は、前述のRaaSの登場である。ウィルスの開発と犯行の実行の分離により、効率的に開発し犯行を実施することが可能になったことだ。つまり、迅速に新しい標的を設定し、攻撃を仕掛けることが可能になったのだ。そして第2は、新型コロナウィルス感染の拡大により、大幅に取り入れられたリモートワークにより、利用が増加したVPN(Virtual Private Network)やRDP(Remote Desktop Protocol)の脆弱性に犯罪グループが着目し、被害が拡大したのだという。
もはや安全ではないバックアップ
そこで、増大しつつあるランサムウェアへのリスク管理策としてはバックアップの確実な確保が重要となるのだが、ここでも新しい事態が進行しているのだという。それは、バックアップのファイルを探し出して、これらも一緒に暗号化し、バックアップを無効にするという新しいウィルスが登場しているというのだ。これらの新しいウィルスは、バックアップソフトの手法を学習し、どのような場所にどのようにバックアップを格納するのかを把握し、バックアップファイルまで本体と一緒に暗号化して、バックアップを無効化しているのだという。日経コンピュータ誌2021.4.15『10年で一変 バックアップの新常識』(p22~35)にて、この問題を取り上げ、バックアップの方法や考え方が大きく変化している状況を報じている。この記事の中で筆者が注目したのは、「3-2-1ルール」を守るべき状態になったと指摘している点だ。
(「3-2-1ルール」とは?)
2012年に米国国土安全保障省のCISA(Cyber security Infrastructure Security Agency)のセキュリティ組織であるUS-CERTがバックアップをする際に守るべきルールとして提示したものである。
3:ファイルのコピーは全部で3個(プライマリー1個+バックアップ2個)を保管すること。
2:保管するメディアは、異なる種類の2個(例えば、ストレージ+磁気テープなど)
1:このうちの1個はオフサイト(例えば、本システムの稼働するデータセンターとは別のクラウド上など)に保管すること。
この「3-2-1ルール」は手間がかかるために、現実策としては採れないとの意見が支配的だった。しかし、前述のようにランサムウェアが進化し、同じシステム内のバックアップまで探し出して無効化するようになり、このルールが見直されるようになったのだ。もう一つの変化はクラウドの利用が一般化したことだ。例えば、「Amazon S3」のようなクラウドストレージであれば、本システムの動くデータセンターなどとは異なる場所にバックアップを作ることが可能になるからである。この具体的な詳細は、前述の日経コンピュータ誌の特集『10年で一変 バックアップの新常識』をご参照頂きたい。
いずれにせよ、ウィルス作成者の技術力がどんどん進化し、ユーザーを凌駕すると、益々セキュリティコストが上昇することは否定できない。いわばIT技術力格差をカネにする仕組みがランサムウェアだと見なすこともできる。つまり、技術弱者は強者に一種の献上金を払うようなものに見えなくもない。大変な時代が始まったという感慨しかないというのが筆者の正直な感想である。しかし、残念ながら日本の企業や官公庁などの組織は、ビジネスに必須の道具である情報システムが使えなくなるという巨大なリスクを明瞭には認識していない様に見える。だが、客観情勢はこのリスクを直視する以外に無い状況に置かれているように筆者には見える。
続く水面下の攻防
ということで、今月の論考を閉じようとしていた時、次のような記事が東京新聞ウェブ版に掲載された。事態は新たに動いたようである。
(2021年6月8日 「米、身代金大半を取り返す ハッカーから約2億5千万円」
【ワシントン共同】米司法省は7日、米最大級のパイプラインにサイバー攻撃を仕掛けて一時的に操業停止に追い込み、暗号資産(仮想通貨)のビットコインで「身代金」を奪ったロシア系のハッカー集団から「大半を取り戻した」と発表した。西部カリフォルニア州の連邦地裁に提出した文書によると、約230万ドル(約2億5千万円)相当を差し押さえた。
攻撃を受けたパイプラインの運営会社コロニアルパイプラインは5月、75ビットコインをハッカー集団「ダークサイド」に支払い、司法省が取り戻したのは63.7ビットコイン。支払った当時は、75ビットコインは約440万ドル相当だった。
この記事によれば、身代金として支払った暗号資産(仮想通貨)の内、大部分を当局が差し押さえたというのである。コロニアルパイプラインの一件は終わった話なのでなく、引き続き水面下では日々戦いが続いていることの一端が表に出たのだと見られる。それだけ当局とランサムウェアを駆使する集団との攻防が激しいことが分かる。つまり、この件は一市民が立ち向かえる範囲を超えており、読者諸氏がこのような渦中に巻き込まれないことを願うというのが筆者の本音である。
さて本稿の脱稿は東京オリンピックの開催直前である。オリンピックでは毎回開催国や組織委員会の情報システムに膨大な数のサイバー攻撃があるのだという。今は、無事に何事もなくオリンピックやパラリンピックが終了することを祈るばかりである。