女性のサイバーセキュリティ記者が過小評価されているのではないかという件
2021/05/09に米国最大のパイプラインがランサムウェア被害にあって停止したと発表されたが、同社がオフィスネットワークだけでなくパイプライン制御システムのネットワークまで停止させた理由を、事件発生後いち早く詳細に報じたのは女性記者Kim Zetterさんだった。
事件の概要はこちらGIGAZINEの記事を参照。 gigazine.net
そしてZetterさんの事件発覚直後の分析記事がこちら。 zetter.substack.com
このZetterさんの記事は僕もほぼリアルタイムで読んでいたけれど、ランサムウェアで暗号化されたのがオフィスネットワークだけなのに、なぜコロニアル社がパイプライン制御システムのネットワークまで停止させたのか。その理由を詳細に取材していたのはこの記事が最初とのこと。
(ちなみにこのZetterさんのウェブマガジン「Zero Day」は「Substack」という話題のニューズレター配信専用プラットフォームで公開されている)
制御システムまで停止させた理由は、ふつうに考えると被害が制御システムにまで及ばないようにということになるが、もう一つ重要な理由があったらしい。
それは、顧客に対する請求書を、制御システムが自動計測する流量データをもとに発行していたことだ。
請求システムがオフィスネットワーク側にあり、ランサムウェアの被害をうけて停止しているため、仮にオフィスネットワークと制御システムネットワークを安全に切り離して、後者だけを稼働して石油を供給できたとしても、どの顧客にどれだけ石油を販売したかのデータが取れず、請求データを起せない。
これを解決するには、パイプラインから顧客への供給経路のすべての出口の流量を手作業で記録、計算して請求書を書く必要があるが、この手作業を現実的に可能にするまでパイプラインを止める必要がある。
そういうわけで、被害を受けていないパイプライン制御システムも停止せざるを得なかったということだ。いわゆるプロセス型製造業のように液体を販売する事業者は、1個、2個と個数を数えて請求書を起すわけにはいかない。
CNNがようやくこの請求書問題を取り上げたのはZetterさんが記事を書いた4日後で、他のセキュリティリサーチャーや記者もこの点に気づいていなかった。
ランサムウェア事件が起こると、被害企業が身代金を支払うかどうか、システム停止による社会への影響はどうか、被害企業はシステムを復旧できるか、犯人グループは誰か(RevilかCl0pかBabukか等々)などは話題になるが、請求書の作成といった非常に現実的な事務処理上の問題に注目する記者はあまりいない。
たしかに企業がランサムウェア被害を受けたとして、社内システムをどの範囲まで停止するかの判断は、純粋に技術的な問題、たとえば社内ネットワークを論理的に分離しているルーターによる分離で十分か、ルーター自体の感染リスクがあるため物理的に切り離すか、といったことだけでは完結しない。
技術的な問題よりもむしろ、請求書の発行という業務上の問題が復旧手順を左右するという、言われてみれば納得のことは着目できそうでできない。
この重要な指摘が看過されたのは、ジェンダーバイアスではないかというのがこちらのツイート。
As folks rightly give kudos to Zetter for her great reporting on Colonial, it's worth asking why SHE's not the poster child for Substack rather than some male flamethrowers.
— emptywheel (@emptywheel) 2021年5月14日
She's been doing superb work, on her own, for a long time. https://t.co/pCRm1xCusM
たしかにセキュリティ業界は男子校のおたくサークルなノリがある気はする。僕自身の偏見かもしれないけれど。
仏保険会社アクサが自国内のみランサムウェアの身代金損害補償を停止
フランスの保険会社アクサがフランス国内のサイバー保険について、ランサムウェアの身代金支払いへの補償をやめるとのこと。
ランサムウェアの身代金支払いへの補償が停止されるのは、フランス国内のサイバー保険の新規契約からで、他国の契約や既存の契約ではそのまま有効。また、ロシアなどの「safe haven」を拠点とする犯罪者によるランサムウェア攻撃の対応・復旧費用の補償も引き続き行うらしい。
背景にあるのは、保険会社が身代金を補償することそのものへの批判。犯罪者集団は狙った企業について、事前にサイバー保険の加入状況や、ときにはランサムウェアの身代金に対する補償額まで調べた上で攻撃し、保険の補償内容に合わせて要求額を決めることもあるという。
それがかえって被害企業が身代金を支払う傾向を後押しし、ビジネスとしてのランサムウェアを助長している面がある点が問題視されるようになっている。
また、ランサムウェアの世界的な被害拡大で、身代金支払いによる損害を補償するサイバー保険事業の収益そのものを悪化させる懸念も出て来ているとのこと。
正しいやり方は、資金に余裕のない中堅、中小企業が、十分なセキュリティ対策を行うための支援をすることや、暗号化通貨市場に対する規制を強化して、犯罪者集団のマネーロンダリングに悪用されないようにすることではないのか、という問題提起もされているらしい。
ということで、今回はフランスの保険会社アクサが自国内限定で補償を停止というニュースだけれど、この流れは他の欧米諸国にも広がるんだろうか。
学生がインストールした海賊版ソフトからランサムウェア被害
ヨーロッパのとある生体分子研究所がランサムウェア「Ryuk」の被害にあい、1週間分の研究データを失うと同時に、丸1週間ネットワークが不通になったとのこと。
きっかけは研究にアシスタントとして参加していた大学生が、自宅のPCにも研究所のPCと同じ数万円のソフトウェアが欲しいと、ネットで海賊版を探してインストールしたところ、仕込まれていたマルウェアに感染。
大学生が感染に気づかないまま、マルウェアはWindowsのクリップボード履歴から研究所へリモートデスクトップ接続するユーザ名とパスワードを盗んだ。
そのユーザ名とパスワードがブラックマーケットで売り出され、それをランサムウェアのオペレータである犯罪者集団が購入、大学生のPC経由で研究所のネットワークを感染させたのではないかとのこと。
これらはインシデントに対応したセキュリティベンダーSophosの調査で判明したらしい。
Bleeping Computerの別記事によれば、認証情報のブラックマーケットでは、ユーザ名とパスワードが1組3ドル程度の安値で販売されており、「Ultimate Anonymity Service (UAS)」と呼ばれるサイトでは過去3年間で130万組が販売されたとのこと。
教訓としては、海賊版を買おうとするのはやめましょうというのは当然として、リモートデスクトップを二要素認証なしでインターネットにさらすのはやめましょう。ワンタイムパスワードなり、接続元グローバルIPアドレスの制限なりをちゃんとしましょうということ。
まあでも二要素認証のないウェブサイトで機密情報をやり取りしようとされる企業はまだまだありますよね。
組織的なアマゾン偽レビューの証拠が当のアマゾンのクラウドサービスから漏えい
とあるセキュリティ専門家がアマゾンのクラウドサービスで公開状態になっているデータベースを見つけたところが、アマゾンの偽レビューを組織的に行っている業者のデータだったとのこと。
約1,300万件、7GBにおよぶデータには、販売業者が偽レビューを投稿した顧客とやりとりしたダイレクトメッセージの内容も含まれ、20万人以上がかかわっていたらしい。この組織的な偽レビュー投稿は中国発で、欧米を狙って行われていた。
関与していた販売業者は5つ星レビューが欲しい商品のリストを提供、顧客は参加登録し、Amazonで購入後、レビューを投稿。レビューが公開されたら顧客は販売業者にレビューのリンクを送信、業者は商品はそのままで代金を返金という、ありがちな仕組み。
こういう販売業者が明るみに出て、Amazonのレビューモデレーションがより厳しくなるのは一見良さそうなことにみえる。しかし、モデレーションが過剰になり、逆にAmazon自身が自社の利益のために、恣意的にサードパーティーセラーのレビューを削除することも起こり得るので要注意だ。
じっさい『POLITICO』によれば、Amazon社内で販売業者の売上データへのアクセス制限が不十分で、Amazonの従業員がそれらのデータを閲覧、Amazon自身が出品している商品の販売に有利になるように利用していたとされている。
Amazonが恣意的にサードパーティーセラーへの高評価レビューを厳しくチェックしている、なんていうことはないと信じたい。
ベルギー政府への大規模なDDoS攻撃はウイグル問題と無関係
現地時間2021/05/04夜、ベルギー政府の複数の期間が大規模なDDoS攻撃にあい、組織内のシステム、外部ウェブサイトとも停止に追い込まれたとのこと。
政府が出資している政府機関むけインターネットプロバイダ「Belnet」に対する攻撃で、国会ふくむ200以上の政府機関のインターネット接続が影響をうけた。新型コロナウイルスのワクチン接種予約サイトもダウンしたらしい。
ただ、ベルギーの一部政治家は、興味深い偶然を指摘しているとのこと。
というのは、中国の「ウイグル人強制収容所」からの「生還者」が、ベルギー国会外務委員会で証言する予定だった時期とこの攻撃が「偶然」重なったからだ。
ブリュッセルにある非営利のシンクタンク、王立国際関係研究所の上席研究員、トマス・ルナール氏は、ベルギー国会が中国のウイグル人について議論しようとしているちょうどそのときにサイバー攻撃をうけたのは偶然だろうか?と疑問を呈している。
Apparently, when the Belgian Parliament organizes a debate on the #Uyhgurs in China, it is targeted by a cyberattack that prevents the session...coincidence? 🤔 https://t.co/dzCtSPse2T
— Thomas Renard (@tom_renard) 2021年5月4日
Belnetもベルギー政府も攻撃について調査中で、攻撃が誰によるものかは言及していないようだ。
きっと単なる偶然だろう。
