サイバーセキュリティ関連のジャーナリストとして有名なブライアン・クレブス氏が、ランサムウェア被害にあった米コロニアル・パイプラインにお怒りのご様子。

50% more than what? Say, $5M? https://t.co/V6OEPue96x

— briankrebs (@briankrebs) 2021年5月15日

クレブス氏がこのスレッドでリツイートしているのは、同社に関する2021/05/13のAPの記事。 apnews.com

この記事によるとコロニアル社は3年前外部監査を受けており、セキュリティ管理のお粗末な状況を指摘されていたとのこと。

たった5万ドルで監査を請け負ったスモールウッド氏は6か月間の監査の後、2018/01に89ページの監査報告書を作成。秘密保持契約のためAP社への報告書提出はできないものの、取材に答えてコロニアル社の当時の状況を語っている。

監査はセキュリティを主としたものではなく、環境対策、法務リスク、事業計画、資産保全、会計、税務、情報システム、人事管理など多岐にわたるもので、監査報告書とともに期間は24か月間、費用は130万ドルを想定した改善計画提案も提出されていた。

監査報告書では同社の情報管理のお粗末さがいくつも指摘されていたという。

たとえば、事故対応に重要な文書や、情報漏えいを防止するために更新しつづける必要があるパイプライン点検文書などは、本来15分以内に取り出せるはずだが、見つけ出すのに3週間もかかったとのこと。従業員に対するセキュリティ教育も行われていいなかった。

スモールウッド氏は同社の社内ネットワークを、セキュリティ対策が不十分なパッチワークのようだと表現し、明らかな欠陥と大きな問題があるため「中学2年生でもハッキングできただろう」と語っている。

米国では電力事業者はセキュリティ標準に準拠する義務があるが、パイプライン事業者はその対象外とのこと。

APの記事は、コロニアル社が米国東海岸のライフラインを握る企業でありながら、4年前の監査で受領したシステム改善提案をまともに実施していなかった無責任さを批判している。

しかもコロニアル社は2020/08に米国史上最悪のガソリン流出事故を起こし、しかも事故の規模について正確な情報を迅速に公開しなかったことで、ノースカロライナ州の環境規制当局から強く非難されている。 newrepublic.com

今回ランサムウェア被害に遭ったのは、こういうお粗末な経営の企業だったということだ。

それでも米国政府は東海岸のガソリン不足による危機的状況を避けるために、ランサムウェアを運営していた犯罪者集団に対して、サイト閉鎖や暗号化通貨資産の差し押さえなど、「逆ハッキング」とも言える強硬策をとった。

個人的に思ったのは、これでは米国民間企業の経営者に、自腹でセキュリティ対策しなくても最終的には国が助けてくれるという誤ったメッセージを送ることにならないか、ということだ。

そういうわけで、今回のランサムウェアによる米国最大のパイプライン停止は、サイバー犯罪者に米国政府が反撃を食らわせてめでたしめでたしとか、攻撃は最大の防御であるといった単純な話ではなさそうだ。

コロニアル社から身代金500万ドルを奪った犯罪者集団も、安全投資をしぶってきた結果昨年重大事故を起こしながらもなお不作為をつづけた経営者も、「金儲け主義」という点でどっこいどっこいな気がする。

クレブス氏がお怒りなのも無理はない。