B・クレブス氏がランサムウェア被害にあったコロニアル・パイプラインにお怒りのご様子
サイバーセキュリティ関連のジャーナリストとして有名なブライアン・クレブス氏が、ランサムウェア被害にあった米コロニアル・パイプラインにお怒りのご様子。
50% more than what? Say, $5M? https://t.co/V6OEPue96x
— briankrebs (@briankrebs) 2021年5月15日
クレブス氏がこのスレッドでリツイートしているのは、同社に関する2021/05/13のAPの記事。 apnews.com
この記事によるとコロニアル社は3年前外部監査を受けており、セキュリティ管理のお粗末な状況を指摘されていたとのこと。
たった5万ドルで監査を請け負ったスモールウッド氏は6か月間の監査の後、2018/01に89ページの監査報告書を作成。秘密保持契約のためAP社への報告書提出はできないものの、取材に答えてコロニアル社の当時の状況を語っている。
監査はセキュリティを主としたものではなく、環境対策、法務リスク、事業計画、資産保全、会計、税務、情報システム、人事管理など多岐にわたるもので、監査報告書とともに期間は24か月間、費用は130万ドルを想定した改善計画提案も提出されていた。
監査報告書では同社の情報管理のお粗末さがいくつも指摘されていたという。
たとえば、事故対応に重要な文書や、情報漏えいを防止するために更新しつづける必要があるパイプライン点検文書などは、本来15分以内に取り出せるはずだが、見つけ出すのに3週間もかかったとのこと。従業員に対するセキュリティ教育も行われていいなかった。
スモールウッド氏は同社の社内ネットワークを、セキュリティ対策が不十分なパッチワークのようだと表現し、明らかな欠陥と大きな問題があるため「中学2年生でもハッキングできただろう」と語っている。
米国では電力事業者はセキュリティ標準に準拠する義務があるが、パイプライン事業者はその対象外とのこと。
APの記事は、コロニアル社が米国東海岸のライフラインを握る企業でありながら、4年前の監査で受領したシステム改善提案をまともに実施していなかった無責任さを批判している。
しかもコロニアル社は2020/08に米国史上最悪のガソリン流出事故を起こし、しかも事故の規模について正確な情報を迅速に公開しなかったことで、ノースカロライナ州の環境規制当局から強く非難されている。 newrepublic.com
今回ランサムウェア被害に遭ったのは、こういうお粗末な経営の企業だったということだ。
それでも米国政府は東海岸のガソリン不足による危機的状況を避けるために、ランサムウェアを運営していた犯罪者集団に対して、サイト閉鎖や暗号化通貨資産の差し押さえなど、「逆ハッキング」とも言える強硬策をとった。
個人的に思ったのは、これでは米国民間企業の経営者に、自腹でセキュリティ対策しなくても最終的には国が助けてくれるという誤ったメッセージを送ることにならないか、ということだ。
そういうわけで、今回のランサムウェアによる米国最大のパイプライン停止は、サイバー犯罪者に米国政府が反撃を食らわせてめでたしめでたしとか、攻撃は最大の防御であるといった単純な話ではなさそうだ。
コロニアル社から身代金500万ドルを奪った犯罪者集団も、安全投資をしぶってきた結果昨年重大事故を起こしながらもなお不作為をつづけた経営者も、「金儲け主義」という点でどっこいどっこいな気がする。
クレブス氏がお怒りなのも無理はない。
女性のサイバーセキュリティ記者が過小評価されているのではないかという件
2021/05/09に米国最大のパイプラインがランサムウェア被害にあって停止したと発表されたが、同社がオフィスネットワークだけでなくパイプライン制御システムのネットワークまで停止させた理由を、事件発生後いち早く詳細に報じたのは女性記者Kim Zetterさんだった。
事件の概要はこちらGIGAZINEの記事を参照。 gigazine.net
そしてZetterさんの事件発覚直後の分析記事がこちら。 zetter.substack.com
このZetterさんの記事は僕もほぼリアルタイムで読んでいたけれど、ランサムウェアで暗号化されたのがオフィスネットワークだけなのに、なぜコロニアル社がパイプライン制御システムのネットワークまで停止させたのか。その理由を詳細に取材していたのはこの記事が最初とのこと。
(ちなみにこのZetterさんのウェブマガジン「Zero Day」は「Substack」という話題のニューズレター配信専用プラットフォームで公開されている)
制御システムまで停止させた理由は、ふつうに考えると被害が制御システムにまで及ばないようにということになるが、もう一つ重要な理由があったらしい。
それは、顧客に対する請求書を、制御システムが自動計測する流量データをもとに発行していたことだ。
請求システムがオフィスネットワーク側にあり、ランサムウェアの被害をうけて停止しているため、仮にオフィスネットワークと制御システムネットワークを安全に切り離して、後者だけを稼働して石油を供給できたとしても、どの顧客にどれだけ石油を販売したかのデータが取れず、請求データを起せない。
これを解決するには、パイプラインから顧客への供給経路のすべての出口の流量を手作業で記録、計算して請求書を書く必要があるが、この手作業を現実的に可能にするまでパイプラインを止める必要がある。
そういうわけで、被害を受けていないパイプライン制御システムも停止せざるを得なかったということだ。いわゆるプロセス型製造業のように液体を販売する事業者は、1個、2個と個数を数えて請求書を起すわけにはいかない。
CNNがようやくこの請求書問題を取り上げたのはZetterさんが記事を書いた4日後で、他のセキュリティリサーチャーや記者もこの点に気づいていなかった。
ランサムウェア事件が起こると、被害企業が身代金を支払うかどうか、システム停止による社会への影響はどうか、被害企業はシステムを復旧できるか、犯人グループは誰か(RevilかCl0pかBabukか等々)などは話題になるが、請求書の作成といった非常に現実的な事務処理上の問題に注目する記者はあまりいない。
たしかに企業がランサムウェア被害を受けたとして、社内システムをどの範囲まで停止するかの判断は、純粋に技術的な問題、たとえば社内ネットワークを論理的に分離しているルーターによる分離で十分か、ルーター自体の感染リスクがあるため物理的に切り離すか、といったことだけでは完結しない。
技術的な問題よりもむしろ、請求書の発行という業務上の問題が復旧手順を左右するという、言われてみれば納得のことは着目できそうでできない。
この重要な指摘が看過されたのは、ジェンダーバイアスではないかというのがこちらのツイート。
As folks rightly give kudos to Zetter for her great reporting on Colonial, it's worth asking why SHE's not the poster child for Substack rather than some male flamethrowers.
— emptywheel (@emptywheel) 2021年5月14日
She's been doing superb work, on her own, for a long time. https://t.co/pCRm1xCusM
たしかにセキュリティ業界は男子校のおたくサークルなノリがある気はする。僕自身の偏見かもしれないけれど。
仏保険会社アクサが自国内のみランサムウェアの身代金損害補償を停止
フランスの保険会社アクサがフランス国内のサイバー保険について、ランサムウェアの身代金支払いへの補償をやめるとのこと。
ランサムウェアの身代金支払いへの補償が停止されるのは、フランス国内のサイバー保険の新規契約からで、他国の契約や既存の契約ではそのまま有効。また、ロシアなどの「safe haven」を拠点とする犯罪者によるランサムウェア攻撃の対応・復旧費用の補償も引き続き行うらしい。
背景にあるのは、保険会社が身代金を補償することそのものへの批判。犯罪者集団は狙った企業について、事前にサイバー保険の加入状況や、ときにはランサムウェアの身代金に対する補償額まで調べた上で攻撃し、保険の補償内容に合わせて要求額を決めることもあるという。
それがかえって被害企業が身代金を支払う傾向を後押しし、ビジネスとしてのランサムウェアを助長している面がある点が問題視されるようになっている。
また、ランサムウェアの世界的な被害拡大で、身代金支払いによる損害を補償するサイバー保険事業の収益そのものを悪化させる懸念も出て来ているとのこと。
正しいやり方は、資金に余裕のない中堅、中小企業が、十分なセキュリティ対策を行うための支援をすることや、暗号化通貨市場に対する規制を強化して、犯罪者集団のマネーロンダリングに悪用されないようにすることではないのか、という問題提起もされているらしい。
ということで、今回はフランスの保険会社アクサが自国内限定で補償を停止というニュースだけれど、この流れは他の欧米諸国にも広がるんだろうか。
学生がインストールした海賊版ソフトからランサムウェア被害
ヨーロッパのとある生体分子研究所がランサムウェア「Ryuk」の被害にあい、1週間分の研究データを失うと同時に、丸1週間ネットワークが不通になったとのこと。
きっかけは研究にアシスタントとして参加していた大学生が、自宅のPCにも研究所のPCと同じ数万円のソフトウェアが欲しいと、ネットで海賊版を探してインストールしたところ、仕込まれていたマルウェアに感染。
大学生が感染に気づかないまま、マルウェアはWindowsのクリップボード履歴から研究所へリモートデスクトップ接続するユーザ名とパスワードを盗んだ。
そのユーザ名とパスワードがブラックマーケットで売り出され、それをランサムウェアのオペレータである犯罪者集団が購入、大学生のPC経由で研究所のネットワークを感染させたのではないかとのこと。
これらはインシデントに対応したセキュリティベンダーSophosの調査で判明したらしい。
Bleeping Computerの別記事によれば、認証情報のブラックマーケットでは、ユーザ名とパスワードが1組3ドル程度の安値で販売されており、「Ultimate Anonymity Service (UAS)」と呼ばれるサイトでは過去3年間で130万組が販売されたとのこと。
教訓としては、海賊版を買おうとするのはやめましょうというのは当然として、リモートデスクトップを二要素認証なしでインターネットにさらすのはやめましょう。ワンタイムパスワードなり、接続元グローバルIPアドレスの制限なりをちゃんとしましょうということ。
まあでも二要素認証のないウェブサイトで機密情報をやり取りしようとされる企業はまだまだありますよね。
組織的なアマゾン偽レビューの証拠が当のアマゾンのクラウドサービスから漏えい
とあるセキュリティ専門家がアマゾンのクラウドサービスで公開状態になっているデータベースを見つけたところが、アマゾンの偽レビューを組織的に行っている業者のデータだったとのこと。
約1,300万件、7GBにおよぶデータには、販売業者が偽レビューを投稿した顧客とやりとりしたダイレクトメッセージの内容も含まれ、20万人以上がかかわっていたらしい。この組織的な偽レビュー投稿は中国発で、欧米を狙って行われていた。
関与していた販売業者は5つ星レビューが欲しい商品のリストを提供、顧客は参加登録し、Amazonで購入後、レビューを投稿。レビューが公開されたら顧客は販売業者にレビューのリンクを送信、業者は商品はそのままで代金を返金という、ありがちな仕組み。
こういう販売業者が明るみに出て、Amazonのレビューモデレーションがより厳しくなるのは一見良さそうなことにみえる。しかし、モデレーションが過剰になり、逆にAmazon自身が自社の利益のために、恣意的にサードパーティーセラーのレビューを削除することも起こり得るので要注意だ。
じっさい『POLITICO』によれば、Amazon社内で販売業者の売上データへのアクセス制限が不十分で、Amazonの従業員がそれらのデータを閲覧、Amazon自身が出品している商品の販売に有利になるように利用していたとされている。
Amazonが恣意的にサードパーティーセラーへの高評価レビューを厳しくチェックしている、なんていうことはないと信じたい。
