ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

女性のサイバーセキュリティ記者が過小評価されているのではないかという件

2021/05/09に米国最大のパイプラインがランサムウェア被害にあって停止したと発表されたが、同社がオフィスネットワークだけでなくパイプライン制御システムのネットワークまで停止させた理由を、事件発生後いち早く詳細に報じたのは女性記者Kim Zetterさんだった。

事件の概要はこちらGIGAZINEの記事を参照。 gigazine.net

そしてZetterさんの事件発覚直後の分析記事がこちら。 zetter.substack.com

このZetterさんの記事は僕もほぼリアルタイムで読んでいたけれど、ランサムウェアで暗号化されたのがオフィスネットワークだけなのに、なぜコロニアル社がパイプライン制御システムのネットワークまで停止させたのか。その理由を詳細に取材していたのはこの記事が最初とのこと。

(ちなみにこのZetterさんのウェブマガジン「Zero Day」は「Substack」という話題のニューズレター配信専用プラットフォームで公開されている)

制御システムまで停止させた理由は、ふつうに考えると被害が制御システムにまで及ばないようにということになるが、もう一つ重要な理由があったらしい。

それは、顧客に対する請求書を、制御システムが自動計測する流量データをもとに発行していたことだ。

請求システムがオフィスネットワーク側にあり、ランサムウェアの被害をうけて停止しているため、仮にオフィスネットワークと制御システムネットワークを安全に切り離して、後者だけを稼働して石油を供給できたとしても、どの顧客にどれだけ石油を販売したかのデータが取れず、請求データを起せない。

これを解決するには、パイプラインから顧客への供給経路のすべての出口の流量を手作業で記録、計算して請求書を書く必要があるが、この手作業を現実的に可能にするまでパイプラインを止める必要がある。

そういうわけで、被害を受けていないパイプライン制御システムも停止せざるを得なかったということだ。いわゆるプロセス型製造業のように液体を販売する事業者は、1個、2個と個数を数えて請求書を起すわけにはいかない。

CNNがようやくこの請求書問題を取り上げたのはZetterさんが記事を書いた4日後で、他のセキュリティリサーチャーや記者もこの点に気づいていなかった。

ランサムウェア事件が起こると、被害企業が身代金を支払うかどうか、システム停止による社会への影響はどうか、被害企業はシステムを復旧できるか、犯人グループは誰か(RevilかCl0pかBabukか等々)などは話題になるが、請求書の作成といった非常に現実的な事務処理上の問題に注目する記者はあまりいない。

たしかに企業がランサムウェア被害を受けたとして、社内システムをどの範囲まで停止するかの判断は、純粋に技術的な問題、たとえば社内ネットワークを論理的に分離しているルーターによる分離で十分か、ルーター自体の感染リスクがあるため物理的に切り離すか、といったことだけでは完結しない。

技術的な問題よりもむしろ、請求書の発行という業務上の問題が復旧手順を左右するという、言われてみれば納得のことは着目できそうでできない。

この重要な指摘が看過されたのは、ジェンダーバイアスではないかというのがこちらのツイート。

たしかにセキュリティ業界は男子校のおたくサークルなノリがある気はする。僕自身の偏見かもしれないけれど。