Blog

1年後:コロニアル・パイプライン社のランサムウェア攻撃から得た教訓

One Year Later: Lessons from the Colonial Pipeline Ransomware Attack
コロニアル・パイプライン社が5日間サービスを停止させたコロニアル・パイプラインのランサムウェア攻撃から1年が経ちました。この攻撃により、東部および南部の州では大規模な燃料不足が発生し、コロニアル・パイプライン社は440万ドルという高額な身代金の支払いに追い込まれました。

その後もランサムウェアの攻撃は衰えることなく、最近ではLAPSUS$やONYXなどのランサムウェアが登場しています。(これらはファイルを暗号化するだけでなく、システム全体を破壊すると脅しています)。Black Kiteは、2022年のサードパーティーブリーチレポートを発表し、2021年にランサムウェアがサードパーティー攻撃の最も一般的な攻撃手法となったことを強調していています。必要なのは1つの穴、すなわち盗まれたパスワード、1つのオープンポート(テストのための短期間だけでも)、Log4jなどのソフトウェアの脆弱性1つで、ランサムウェアの扉は開かれたままです。

One Year Later: Lessons from the Colonial Pipeline Ransomware Attack

ここでは、コロニアル・パイプライン攻撃から学んだ教訓と、組織が自らを守るためにすべきことを紹介します。

1:セキュリティ意識の向上やセキュリティポリシーの徹底など

  • 多要素認証(MFA)を使用して、攻撃者が侵入するのをはるかに困難にする。コロニアル・パイプライン社のVPNアカウントが漏洩したのは、パスワードがダークウェブ上で発見されたからです。MFAを有効にすれば、単にパスワードを入手するよりもはるかに攻撃を難しくすることができます。
  • システムのバックアップを定期的に行う 身代金を支払った後、提供された復号化ツールは非常に時間がかかったため、同社の事業継続計画ツールの方が業務能力を回復させるのに効果的でした。

2:検出・対応システムの構築が必須

身代金要求のメッセージを受け取った後、コロニアル・パイプライン社は、どのように起こったのか、どこまで進行しているのかが分からなかったため、生産を停止せざるを得ませんでした。攻撃が完全に食い止められたと最終的に判断するまでに数日かかりました。検知・対応システムを導入していれば、生産停止を回避できたかもしれません。検知・対応システムは、次のようなものでなければなりません。

  • 攻撃の兆候を早期に察知し、攻撃が進行する前に迅速に停止させ、被害を最小限に抑える。コロニアル・パイプライン社のケースでは、データの流出はランサムウェア攻撃の前に起こっています。検知・対応システムがあれば、流出警告を発して調査・対応を促し、ランサムウェア攻撃への進行を食い止めることができたはずです。
  • MITRE ATT&CKの技術や戦術をカバーしていることに加え、不審な行動を検出する。攻撃者は、単にダークウェブから認証情報を購入し、正当なユーザーとしてログインすることがあります。彼らはMITRE ATT&CKの戦術や技術に基づく検出をトリガーすることはないでしょう。しかし、彼らが侵入した後、間違いなく不審な行動を示すでしょう。
  • 攻撃がどのように発生したかを明確に示し、攻撃が封じ込められたことを決定的にすること。コロニアル・パイプライン社は、攻撃者が4月29日にVPNアカウントを使用してネットワークにアクセスする前に、他に関連する活動がなかったことを確認するために、マンディアント社に環境の徹底的な調査を依頼しました。しかし、優れた検知システムであれば、何日もかけて手動でトレースや掃討を行わなくても、リアルタイムでこれを示すことができたはずです。
  • 攻撃がどこまで進んでいるかを示し、その影響を把握する。重要な資産に到達しているか?これにより、ビジネスへの影響を判断し、不必要な混乱を回避することができます。今回の攻撃の主なターゲットは、会社の課金インフラでした。実際の油送りのシステムはまだ動くことができました。しかし、コロニアル・パイプライン社にとっては、マンディアント社が同社のネットワーク全体を掃引・追跡した数日後まで、攻撃者が同社の運用技術ネットワーク(実際のガソリンの流れを制御するコンピュータのシステム)を侵害したかどうかは明らかではありませんでした。検知システムは、攻撃がどこまで進行し、どのような資産が影響を受けているかを明確に示し、対応策を決定する必要があります。
  • .新たに進行しているフォローアップ攻撃を表示する。  調査中、マンディアント社はあらゆるフォローアップ攻撃を監視するための検知ツールをインストールしました。しっかりとした検知・対応システムは、いつ(あるいはいつ)攻撃が行われていても、24時間365日監視しています。

ここでの主な教訓は、セキュリティインフラ全体を24時間365日監視し、攻撃の初期兆候を検出し、さまざまな信号を関連付け、攻撃がどのように発生し、どの程度進行したかを示す統合検出・対応システムを使用することです。 Stellar CyberのOpen XDRプラットフォームが提供するのは、まさにこれです。