Colonial Pipeline はランサムウェア対策として何をすべきだったのか?

Pipeline Ops Shut Down After Ransomware Attack

2021/05/11 AutomationCom — 東海岸に燃料を輸送する主要パイプライン・システムを運営している Colonial Pipeline は、5月初頭にランサムウェア攻撃を受けた後に、すべての操業を停止して事件に対処したと発表した。同社は、誰に何を要求されたのかについては、なにも言及していない。通常、ランサムウェ攻撃では、犯罪者がデータを奪った後に暗号化を行い、カギの解除と引き換えに、多額の支払いを要求する。 このパイプライン事業者が、ランサムウェア攻撃を防御するために、講じるべきだった対策が紹介されている。

Tenable の OT Security VP であり、Department of Homeland Security (DHS) の ICS-CERT で最も長くディレクターを務めている Marty Edwards は、「世界中の重要インフラにとって、さらに言うなら、すべての消費者にとって、いまのサイバー攻撃は現実的な危機をもたらす。今回の Colonial Pipeline の事件は、報道が正確なのであれば、IT の世界から始まったランサムウェア攻撃は、予防策を凌駕するほどの、大きな危険を示唆するものであり、事業者は操業を停止せざるを得なかった」と述べている。

この記事は、今回の事件の背景を明らかにするために、aeCyberSolutions の Industrial Cybersecurity VP である John Cusimano のコメントを紹介しています。

「パイプライン業界に共通する欠陥は、Supervisory Control And Data Acquisition (SCADA) ネットワークがセグメント化されていないことです。SCADA ネットワークとは、パイプラインの制御センターと、パイプライン上の全ターミナルや、ポンプ・ステーション、リモート・アイソレーション・バルブ、タンクファームなどを結ぶネットワークのことです。このネットワークは、長距離をカバーする広大なネットワークですが、ネットワーク・セグメンテーションの観点から見ると、フラットであることが常です。つまり、誰かが SCADA ネットワークへのアクセス権を得てしまうと、ネットワーク上の全デバイスにアクセス可能となります。

パイプライン SCADA ネットワークは、ファイアウォールでエンタープライズ・ネットワーク (IT ネットワーク) から分離されていますが、ファイアウォールをまたいだネットワーク間で、いくつかのデータを受け渡すようデもザインされています。たとえば、SolarWinds のようなネットワーク監視ソフトウェアが、SCADA ネットワークを監視するために、ファイアウォールを通過するケースもあります。このように、ファイアウォールをまたいで許可された経路は、悪意のあるソフトウェアやハッカーが、IT ネットワークから SCADA ネットワークへと侵入する1つの方法です。それは、SolarWinds の攻撃を始めて知ったときに、私の最大の懸念となりました」

長いコメントでしたが、論点を簡潔にまとめてくれるので、とても助かります。パイプラインまわりは、重要インフラから外れがちで、他のエネルギーセクターに比べてセキュリティが脆弱とも指摘しています。なお、本文の「講じるべきだった対策」のリンク先には、5つの基本的な事柄が書かれています。具体的には、① Windows USB メモリ AutoRun の無効化 ② とにかくバックアップ (もちろん復旧テストも) ③ ネットワークのセグメント化 ④ アンチウィルス ⑤ Windows の堅牢化などです。また、セグメント化に近いかもしれませんが、ID 管理と最小権限や、特権管理あたりも、忘れないようにしたいです。なお、本文中にもあるネットワーク監視ソフトウェアは要注意ですね。海外における SolarWinds の問題はかなり深刻ですが、日本では Sky が問題になっています。ソフトウェアやサービスを提供する企業の吟味も、基本的に重要なことです。

%d bloggers like this: