脅威リサーチ

重要なインフラを守るために:コロニアルパイプライン、DarkSide、ランサムウェア

投稿者 FortiGuard Labs | 2021年5月12日

FortiGuard Labs Threat Research Update

影響を受けるプラットフォーム: Windows
リスクのレベル: 高/中。コロニアルパイプラインのシャットダウンに影響するため。しかし、このランサムウェアが他の場所でも確認されていないことから、これは標的型攻撃に限定されていると思われます。
影響度: 低。この攻撃は現在、標的となる組織に限定されているようで、広範囲にわたるワームのような活動の結果ではありません。

このランサムウェアによる攻撃は、現在も活発な調査が続いています。このブログには、本日5月11日時点での情報が記載されていますが、より多くの情報が得られ次第、更新されます。

Update: 5月11日に発表されたCISAとFBIの 共同勧告では、今回の攻撃を受けて、重要インフラ(CI)資産の所有者および運営者に対して、より高い意識を持つことを呼びかけています。この勧告には、攻撃そのものに関する新しい情報や、攻撃に関連したIOC(Indicator of compromise)は含まれていませんが、勧告の「Mitigations(減災策)」の項に記載されている推奨事項を実行するよう組織に促しています。

5月6日(木)、米国の大手燃料パイプライン事業者であるコロニアルパイプラインがランサムウェアの攻撃を受けました。FBIの発表によると、犯人はDarkSideと呼ばれる東欧のサイバー犯罪組織です。この組織は、今回の攻撃への関与を公式には認めていませんが、その目的は政治的なものではなく金銭的なものだとしています。

DarkSideが用いることで知られている攻撃手法で彼らはネットワークにアクセスし、コロニアルパイプラインのネットワークから約100ギガバイトの重要なデータを盗み出そうとした後、重要なデータとサーバをロックしました。複数の情報源によると、被害を受けたのは情報システムのみで、産業用制御システム(ICS)は含まれていません。

幸いなことに、警戒していたITチームのメンバーがこの攻撃を認識し、脅威を抑えるために特定のシステムをオフラインにしました。これにより、攻撃者がデータを盗むのを防ぐとともに、重要なエネルギー配給インフラがさらに危険にさらされるのを防ぐことができました。

これらの事象により、コロニアルパイプラインは、侵害されたシステムの修復作業を行う間、5,500マイルのパイプライン業務とITインフラの一部を停止しました。コロニアルパイプラインは、東海岸で最大のガソリン、ディーゼル、ジェット燃料の供給会社です。コロニアル・パイプラインは、メキシコ湾岸の製油所と米国東部および南部の流通センターを結ぶパイプラインのネットワークを通じて、東海岸の燃料供給量の約半分に相当する1日250万バレルの燃料を輸送しています。

重要な供給ラインを維持

連邦政府機関やサイバーセキュリティの専門家、物流の専門家などは、夏のドライブシーズンを前にガソリン価格が高騰する可能性があるため、パイプラインの長期的な停止を避けるために努力しています。しかし、一部の専門家によると、わずか4、5日の停止でも、パイプラインに依存している米国東海岸の燃料ターミナルでは、散発的な供給停止が発生する可能性があります。

消費者への供給を確保するため、連邦政府の対応は主に重要な燃料のタイムリーな供給を維持することに集中しています。今回の問題はサイバー攻撃に起因するものですが、緊急対策として、トラックによる燃料輸送のルールを緩和するなど、供給を維持することに注力しました。その結果、18の州では、石油精製品を輸送する際に、ドライバーが時間外労働やフレックスタイム制を利用できるようになりました。

DarkSideランサムウェア攻撃の詳細

この攻撃は、DarkSideが直接関与したものなのか、それとも彼らがダークウェブ上で提供するランサムウェア・アズ・ア・サービスで、攻撃が成功した際に得られる収益の一定割合を「アフィリエイト」がDarkSideに支払っていることによるものなのか、疑問が残ります。DarkSideのキャンペーンに起因する既知の利用可能なサンプルによると、このグループはliving off the land(環境規制型:侵害した環境にインストールされているプログラムを悪用する手法)を好んでいるようです。つまり、このグループは、コンピューティング環境にすでに存在するツールを利用して、侵害された後に検出を逃れるための水平移動(ラテラルムーブメント)を行うのです。

この攻撃の正確な詳細はまだ不明ですが、DarkSideに関連する侵害後のツールや技術の例として、以下のような正規のツールを使用しています。

Cobalt Strike - 世界中のレッドチームで広く使用されているペンテスト・スイート

PSExec.exe - リモート管理(および水平移動)のためのtelnetに似た拡張性と機能性を備えたコマンドラインツール

Putty.exe - サーバーのリモート管理(および水平移動)に広く使用されているSSH/Telnetツール

PCHunter - カーネルレベルで低レベルのシステム情報を提供

MegaSync – ロシア語版のMegaSyncは、ストレージプロバイダーであるMEGAと連携しており、流出したデータや文書の移動に使用されている可能性あり

また、観測された別のファイルは、Firefoxから情報を探し出し、パスワードやその他の関連データを探して流出させるツールです。

重要なインフラを守るためにとるべき3つのステップ

ランサムウェアの攻撃は、業務の一部でもオンラインで行っている組織にとって、依然として最も危険な脅威の一つです。この問題は、この1年でさらに顕著になりました。企業レベルのセキュリティで保護されたオフィスから、VPN接続のみで保護されたリモート拠点やホームオフィスへと従業員が移行しました。今回のケースの詳細はわかりませんが、このようなシナリオに起因するランサムウェアの攻撃が大幅に増加していることがわかっています。

FortiGuard Labs2021年2月に発表したグローバル脅威レポートによると、2020年の下半期に組織はランサムウェア攻撃が7倍に増加したことを目撃したと報告しています。保護されていない、または保護されているホームネットワークを侵害し、VPN接続を乗っ取って企業ネットワークに侵入するという攻撃手法が好まれています。数十年前に開発されたVPN技術に依存することの多くの課題の1つは、VPN接続を介して送信されるデータに対してセキュリティ検査を提供しないこと、そしてVPNトンネルを流れるユーザー、デバイス、アプリケーションを認証していないことです。FortiGuard Labsの脅威リサーチャーは、組織が自宅からの接続戦略に移行し始めた瞬間に、企業のデバイスを標的とした攻撃からコンシューマグレードのアプライアンスを標的とした攻撃へと、ほぼ瞬時に大きく変化したことを記録しています。

進化をとげながら増え続けるランサムウェアの脅威から身を守るために、企業は以下の3つのことを行う必要があります。

1. ホームオフィスとリモート接続をセキュアにする

ホームネットワークやリモート接続のセキュリティを確保する必要があります。フォーティネットは、この問題への対処に焦点を当てたツールの完全なポートフォリオを持っています。ここではその一部をご紹介します。

フォーティネットのセキュアSD-WAN は、物理ネットワークやクラウドを問わず、リモートオフィスから企業リソースへの信頼性の高い接続を確保・維持することができます。これにより、重要なビジネスアプリケーションが最高レベルのセキュリティの下で動作することを保証するとともに、最適なユーザーエクスペリエンスを提供します。また、セキュアSD-WANは、ビジネス接続をホームネットワークの他の部分から分離することができるため、エンターテインメントシステムやスマート家電などのセキュリティ保護されていないホームデバイスや、リモートワーク、リモートラーニング、オンラインでのソーシャル活動やエンターテインメント活動を行っているユーザーが企業ネットワークを危険にさらすことはありません

FortiSASE はクラウドベースのセキュリティを提供し、多くのモバイルユーザーや分散したIoTデバイスであっても、企業のリソースに安全に接続できるようにします。その目的は、あらゆるデバイスのあらゆるユーザーに、あらゆる場所から重要なリソースへのセキュアなアクセスを提供することです。

FortiEDR は、高度なエンドポイントデバイス保護機能を提供し、サイバー攻撃を検知して対応し、デバイスが侵害された場合でも安全かつ信頼性の高い操作を継続できるようにします。

ゼロトラストアクセス は、攻撃者が侵害されたネットワークを自由に移動するために悪用する、多くのネットワークに内在する信頼性を排除します。これを実現するために、まず、すべてのデバイスやユーザが潜在的に危険にさらされていると仮定します。次に、高度な多要素認証、重要なコンテキスト(ユーザーの役割、デバイスの種類、時刻、曜日、地理的位置など)、ネットワークアクセス制御技術を組み合わせて、すべてのデバイスが業務遂行に必要なリソースへのアクセスのみを許可されるようにします。 ゼロトラストネットワークアクセスは、この機能をさらに拡張し、ユーザーとデバイスの詳細な認証に基づいて、重要なアプリケーションに対するきめ細かな制御を可能にします。

2. ランサムウェア対策の実施

ランサムウェア対策としては、重要なシステムを定期的にバックアップし、ネットワーク外に安全に保管すること、攻撃対応戦略とチームを設置すること、復旧シミュレーションを行うこと、重要な意思決定をサイバーイベントの可能な限り近くで行うことができるように、権限を分散させた指揮系統を構築すること、A.I.システムと自動化によって脅威の検知と対応を強化し、対応する脅威をデジタルスピードで特定、調査、阻止できるようにすることなどが挙げられます。

3. 脅威インテリジェンスの実践的な活用

脅威インテリジェンスの活用は、セキュリティフレームワークの一部である必要があります。ネットワークの一部で発生した脅威が他に波及しないようにするためには、発生中の脅威だけでなく、進行中の脅威も把握しておく必要があります。そのためには、分散したネットワーク上のあらゆる場所に配置されたセキュリティシステムやネットワークシステムが、脅威イベントをリアルタイムで確認、共有、関連付け、対応する必要があります。

フォーティネットのソリューション

FortiGuard Labs

FortiGuard Labsは、一般に公開されているDarkSide Ransomwareと関連するキャンペーンサンプルに対して、以下の(AV)シグネチャを用意しています。

PossibleThreat
Riskware/Agent
Riskware/PCH
Riskware/PowerTool
Riskware/RemoteUtilities
Riskware/TorTool
W32/DarkSide.B!tr.ransom
W32/Filecoder.ODE!tr.ransom
W32/Filecoder_DarkSide.A!tr
W32/Filecoder_DarkSide.B!tr
W32/GenKryptik.FBOV!tr
W32/Packed.OBSIDIUM.BV!tr
W64/Kryptik.BVR!tr

FortiGuard Labsでは、Cobalt Strike Beaconを検知するために以下の(IPS)シグネチャを用意しています。

Backdoor.Cobalt.Strike.Beacon

TOR(ダークウェブ)の活動については、Application ControlシグネチャがTORに関連するすべての活動を検知します。

FortiEDR

関連するすべてのIOCは当社のクラウド基盤にもインテリジェンスとして追加されており、お客様のシステムで実行されるとブロックされます。

Webフィルタリング

利用可能なすべてのネットワークIOCは、Webフィルタリング クライアントによってブロックされます。

その他の減災策

混乱を招きやすく、日常業務や評判に損害を与える可能性があり、個人を特定できる情報(PII)などが意図せずに流出する可能性があるため、すべてのAVおよびIPSシグネチャを最新に保つことが重要です。

また、攻撃者がネットワーク内に足場を築くのを防ぐためには、組織内のすべての既知のベンダーの脆弱性に対処し、更新することが不可欠です。

組織は、最新のフィッシング/スピアフィッシング攻撃について従業員を教育し、情報を提供するための継続的なトレーニングセッションを実施することが推奨されます。また、知らない人からの添付ファイルは絶対に開かないようにし、認識できない/信頼できない送信者からのメールは常に慎重に扱うように従業員に奨励する必要があります。そのためには、定期的なトレーニングや、社内のセキュリティ部門があらかじめ用意したテンプレートを使って即席のテストを行うことが有効です。また、悪意のある添付ファイルやリンクを含む電子メールを見分ける方法をユーザーに教えるだけでも、ネットワークへの初期アクセスを防ぐことができます。

引き続きDarkSideランサムウェアの詳細情報を注視ください

The FortiGuard Labsチームは、この脅威に関する追加情報を積極的に収集しており、新しい情報が明らかになり次第、このブログで更新情報を提供していきます。また、コロニアルパイプラインを危険にさらしたような攻撃からお客様を守るフォーティネットのソリューションについても、より詳しい情報をお伝えしていきます。なお、お客様におかれましては、関連するThreat Signal Report(脅威シグナルレポート:英語)をお読みいただき、この攻撃、関連するIOC、およびフォーティネットの追加的な保護についての重要な技術的詳細をご確認ください。