ランサムウェアに見舞われた大手多国籍企業の被害状況や原因を振り返る
2019年3月、アルミニウムを製造するノルウェーの多国籍企業Norsk Hydro社がランサムウェア攻撃に見舞われました。同社の説明によると「いくつかの事業分野の業務に影響を与える広範なサイバー攻撃」に相当する被害を受けました。 同社では、出社した従業員に対して、個人のiPhoneなどのデバイスを会社のネットワークに接続させず、ネットワークデバイスの電源を切ったままにし、ネットワークから切断するように警告しました。
社内のITスタッフだけでなく、ノルウェーの国家安全保障局(NSM)、軍事情報機関(e-tjenesten)、および外部のサイバーセキュリティ企業が事件の調査を開始しました。すべての工場とその操業は分離され、スタッフは可能な限り手動のオペレーションと手順に切り替えました。これは「安全な業務運用を確保し、業務上および財務上の影響を限定するため」の措置でした。
攻撃の原因は、ランサムウェアのLockerGogaとみられています。これは、Windowsドメインネットワークに向けに開発されたMicrosoftのActiveDirectory(AD)も攻撃する非定型ランサムウェアで、すべてのネットワークインターフェースを無効にし、ネットワークからデバイスを切断し、複数のPCとサーバに同時に攻撃を加え、管理者特権を要求します。
特定のコマンドを実行した後、すぐに暗号化用のBoostライブラリとCryptoPPを使用してすべてを暗号化し始めます。ProgramFilesの中のexe/dllファイルも暗号化し、感染したマシン上の多くのものを破壊します。例外はC:¥Windowsとサブフォルダーです。暗号化されたファイルは、末尾に「.locked」がつけられ、LockerGogaは暗号化中にexplorer.exeをクラッシュさせます。
エフセキュアの脅威リサーチャーは、このマルウェアがユーザアカウントのパスワードを変更するために、「net.exe」を2、3回実行すると述べています。変更するパスワードは常に実行可能ファイル内のハードコードされた文字列 「HuHuHUHoHo283283@dJD」に設定されています。最後に、このマルウェアはログアウトし、ユーザは変更されたパスワードを使用して再度ログインすることができます。
LockerGogaはネットワークに接続されていなくても機能し、身代金要求文README_LOCKED.TXTを「Public Desktop」フォルダ(すべてのユーザに表示されるデスクトップファイル)に置いています。身代金要求文自体は極めて標準的なもので、ファイルを復号化する代わりに身代金の支払いを要求しています。
エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)は、企業と共同でセキュリティ態勢の改善に取り組んでいます。彼は、潜在的な脅威アクターは誰なのかを推察することが何よりも重要だと考えています。そして、ランサムウェアが攻撃に使用されていることを念頭に置き、生産工場で攻撃が開始されたことによって、国家的あるいは政治的な影響をもたらす可能性がある事象を認識すべきだと指摘しています。
「ランサムウェアは極めて重要なものを攻撃し、利益を最大化することに使用される反面、日和見的な金銭強奪であるため、無視されることも良くあります。ランサムウェアは、別の見方では、狡猾な頭脳を持っている攻撃者によりアリバイ工作として利用されたり、完全な破壊目的で使用される可能性もあります。すなわち、企業の対応能力をテストしたいと考えている、または陽動作戦を実行しようとする国家による攻撃です。」と彼は説明します。
サイバー犯罪者にとって、製造業は優先度の高いターゲットです。製造業へのサイバー攻撃の86%が標的型攻撃で、66%がハッキング、マルウェアによる攻撃はわずか34%に過ぎません。また、侵害の約半分(47%)が競争上の優位性を得るための知的財産の搾取に関連していますが、53%を占める残りの攻撃は国家関連アクターによるもので、35%は犯罪組織によるものです。
さらに、この分野にはIT(情報技術)とOT(運用技術)が統合することから生じる、技術的な課題がいくつも持ち上がっています。 工場のさまざまなレガシーな分散制御システムからデータを流す必要があるため、その課題のひとつに、企業ネットワークと本稼働ネットワーク間の接続性を高めることがあります。
運用技術は従来の情報技術とは異なるため、2つの世界では考え方も優先順位も異なっています。バックアップ機能が縮小し、少数の施設への依存度が高まると、サプライチェーン全体にわたる混乱が大きくなる可能性があります。運用を統合すると、ビジネスレジリエンスと冗長性のレベルが低下し、新たな障害が発生の原因になる可能性があります。
今日稼動している多くのレガシーシステムは、インターネットが日常的に使用される以前の数十年前に構築されており、当時サイバーセキュリティは現実的な脅威ではありませんでした。その結果、これらのシステムをインターネットに移行させたことで、あらゆる角度から攻撃にさらされることになりました。これは、今日我々が当然のこととしているセキュリティコントロールが、そもそもこれらのレガシープロトコルやシステムには組み込まれていないことによります。
さらに、アップデートやセキュリティパッチの適用も困難です。特にシステムを常時「オン」にしておく必要がある場合は、重大なセキュリティアップデートを実行する時間がほとんど、あるいは全くと言ってよいほどありません。同様に、数百万ドルの費用をかけて、何十年も稼働するように設計されているシステムは、安全でないと見なされても、すぐに破棄して新しいシステムに置き換えられることはありません。
一般にサプライチェーン攻撃はサードパーティベンダーやパートナーを通じて企業を標的にします。これは、バリューチェーン攻撃またはサードパーティ攻撃とも呼ばれ、パートナーネットワークの脆弱な部分を介して企業システムに侵入するものです。企業のセキュリティチェーンにおける最も脆弱な部分が、企業の外部にある可能性がありますが、攻撃者が最も頻繁に悪用するのは人間です。最も一般的な感染ベクターは、スピアフィッシングEメールによるものです。ターゲットを絞り込むために犯罪者が使用する方法には、ソーシャルエンジニアリングが含まれ、その典型的なサービスがLinkedInです。
Tomは、Norsk Hydro社の攻撃について次のようにコメントしています。「現在、攻撃の侵入口はランサムウェアとして説明されていますが、攻撃者はさまざまな方法でアプローチしている可能性があると考えられます。それは、Norsk Hydro社が。かなりの数のITや他のサービスプロバイダと工場施設を運営していると考えられるからです」
たとえば、偶然、または標的型攻撃者によって対策が施されていない状態のインターネット接続システムが発見され、そこでのアクセスが得られ、マルウェアが多くのシステムに侵入していった可能性があります。2つ目の可能性としては、請負会社が他の場所から、または日和見的攻撃や標的型攻撃の結果として、自社のネットワークや他の侵入口からマルウェアを引き寄せてしまったことが考えられます。3つ目は、最もありがちなことですが、社内の誰かが悪意のある添付ファイル付きのEメールを受信したケースが考えられます。
1番目と3番目の攻撃対象領域に関する詳細はまだ完全には把握されていません。しかし、Tomは、ネットワークの分離に関して言えば、管理ネットワークと本稼働ネットワークとの分離を確実に維持することに関しては、何か問題があったと考えています。あるいは、攻撃の規模が非常に大きく、攻撃者がひとつのネットワークから別のネットワークに移動することが可能だったのかも知れません。
「過去の同様な事件において、アドバイスを提供してきた経験から言うと、通常は前者が犯人と言えます。」と彼は述べています。
巧妙なエクスプロイトや脆弱性がいつ公開されるかを正確に知ることは不可能ですが、標的型攻撃または不特定のキャンペーンで悪用するために、それらはすぐさま(数日または数時間以内に)武器化されると確信しています。