piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

米石油パイプライン企業へのサイバー攻撃についてまとめてみた

2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。ここでは関連する情報をまとめます。

予防的措置でパイプライン全停止

  • 被害に遭ったのはメキシコ湾岸の精製業者から米国南東から北東(NY港、NY空港まで)にかけ約8,850㎞のパイプラインを運用する会社。ガソリン、ディーゼル、ジェット燃料など1日に250万バレル(米東海岸で消費される半分近くのシェア 約45%)を輸送している。
  • サイバー攻撃は米国時間で5月6日に始まり、ランサムウエアによりColonial Pipeline社内の一部のITシステムが影響を受けた。同社が攻撃事実に気づいたのは7日。わずか2時間で100GB近いデータ窃取が行われた可能性があったことから、予防的措置としてパイプライン全体の停止が行われた。*1
  • パイプライン停止が行われた理由として第三者がパイプラインへの攻撃を可能とする情報を入手した可能性があることを考慮したためであり、5月12日時点でランサムウエアによる影響が直接パイプラインに及んだとの公式発表はされていない。またCISAも影響を受けたのはITシステムであり、OTシステムにラテラルムーブメントされた兆候は確認していないとしている。(一部研究者らは制御システムへの直接的な影響の可能性も指摘している。)*2
  • 今回の事案による影響はこれまで米国で発生したエネルギーインフラに対するサイバー攻撃として最大と複数の専門家が述べている。
  • パイプラインは順次復旧が進められ、5月12日17時頃までにサービスが再開された。(正常状態復旧は数日以内)
f:id:piyokango:20210513172336p:plain
Colonial Pipeline社のパイプライン(同社Twitterの投稿より
輸送停止による米国内への影響
f:id:piyokango:20210513161435p:plain
Colonial Pipeline社のリリース
  • Colonial Pipeline社は事案による対処状況について5月8日以降、アップデートを行っている。

https://www.colpipe.com/news/press-releases/media-statement-colonial-pipeline-system-disruption *3

発表日時 概要
5月8日 12時30分 ランサムウエアによるサイバー攻撃を受けたことが判明。ITシステムの一部に影響が及び、脅威封じ込めのため特定のシステムをオフライン化し、これを受けパイプラインによる輸送業務も一時停止。大手セキュリティ調査会社による調査を開始。法執行機関、連邦機関へ連絡。
5月9日 17時10分 継続して調査中。安全な状態へのシステム復旧とパイプラインの運用上のセキュリティ維持を優先事項としている。これまで48時間にわたり、パイプラインの安全性とセキュリティの監視、保護のために追加の予防措置を実施。メインライン(ライン1,2,3,4)はオフラインのままだが、ターミナルと配送ポイン間の側線は稼働している。他側面サービスの復旧過程にある。
5月10日 12時25分 正常にネットワークを復旧するには入念な修復を必要とするため時間を要する。週末までに運用サービスの大半を復旧するという目標がある。政府の緊急措置による規制緩和を受け、自社施設、他貯蔵タンクの貯蔵量を確認し、ターミナルへの現地配送を行っている。
5月10日 19時50分 ノースカロライナ州グリーンズボロからメリーランド州ウッドバインまでの4号線は在庫利用が可能な間にかけて、手動制御で稼働している。メインラインは現在もオフラインのままだが、複数の側線は稼働中である。
5月11日 17時15分 既存の在庫を市場に配送しており、供給制限や他の代替手段がない市場を優先的に対応中。これまでに配送ポイントへ約967,000バレルを配送済。再起動時に展開するために製油所から追加で200万バレルの配送を受けている。パイプラインは空中パトロールを強化し、50人以上を配置して毎日5000マイルのパイプラインを徒歩、運転をしている。
5月12日 17時10分 12日17時頃、パイプライン操業を再開。配送業務が正常に戻るまで数日を要する見込み。一部市場で断続的なサービス中断発生の可能性もあるが、正常に戻るまで可能な限り多くの輸送を継続する。連邦政府のパイプライン安全要件をすべて満たし、一連の包括的な安全評価を実施する。今回の対応は従業員の24時間体制のサポート無しには実現されなかった。
5月13日9時 サービス提供先の市場の大半に輸送が開始された。13日正午までに各市場でシステムから輸送された製品を受領できる見込みである。
5月13日 16時40分 パイプラインシステム全体が再開。輸送に係るサプライチェーンが正常な状態に戻るまで数日を要する。
  • Colonial Pipeline社は影響調査のためにサイバーセキュリティ企業(FireEyeと報じられている)に依頼を行った他、また米エネルギー省や法執行機関との連携もしていると説明。
  • 事態対処のため政府内にタスクフォースが設置され、米運輸省は事案発生による混乱回避のため燃料輸送に関する緊急措置導入を5月9日に発表。規制緩和(輸送を担う運転手の労働時間規制)を一時的に行うもので、陸上輸送といった代替手段を取りやすくする。対象は17の州、コロンビア特別区*4で緊急事態が終了するか、6月8日夜まで有効。*5
  • 事案を受け燃料価格高騰などの影響が懸念されたが、ガソリン在庫が米国内にも十分にあったことから現時点での価格影響は軽微な動きを示している。(New York Mercantile取引所では5月7日金曜日にガソリン、ディーゼルの価格は先物で約1%の上昇。その後4%程度の上昇がみられた模様。)
復旧始まるも一部で混乱発生
  • パイプラインに物理的な損傷は確認されておらず、燃料不足もないとの見解をホワイトハウスは示している。但し一部地域では供給手段の早急な手配が必要との報道もある。(フィラデルフィア国際空港でジェット燃料の備蓄枯渇の懸念や一部州で給油所での在庫切れ、燃料のパニック購入が発生していると報じられている。)*6 *7 *8
  • Colonial Pipeline社は10日週内での実質的な復旧をする方針を示している。
  • 5月9日時点で4つの主要パイプラインは停止中で石油ターミナル、輸送拠点を接続する小規模ラインは一部再稼働だったが、5月12日までに輸送業務が復旧した。

DarkSideランサムウエアが利用されたと特定

  • 5月10日、FBIはDarkSideと呼称されるランサムウエアが今回の犯行に使われたと声明で明らかにした。また同日に米大統領はロシア拠点のグループが攻撃を実行したと発言。ただし、米情報機関からロシア政府関与の証拠は確認されていないとして、容疑者らがロシアにいる可能性をあげるも政府関与の考えはないとした。*9

www.fbi.gov

  • DarkSideは2020年8月最初に観測されたランサムウエア、および同名のグループ。Windows、Linux環境をターゲットに暗号化を行う他、他グループでも見られる二重脅迫も行う。RaaS(ransomware-as-a-service)モデルとして提供されており、アフィリエイター(ランサムウエアを被害組織で実行する役)に身代金の一部として75%~90%が支払われるとの報告がある。*10 2020年11月以降に「darksupp」はロシア語圏のフォーラム(exploit.in、xss.is)においてDarkSideのRaaSの広告を開始している。最近では3月下旬に電話サービス(アフィリエイターが被害組織に身代金支払いの圧力を電話で手配)や4月中旬には被害組織に対するDDoS攻撃を開始するサービスの提供も発表している。
  • 侵入経路として、脆弱なリモートサービスの悪用が報告されており、TorやCobalt Strikeを介したRDP経由で被害組織との接続を行う。偵察フェーズではMimikatz、advanced_ip_scanner.exe、psexec等の定番ツールを使用した資格窃取行為が行われ、ドメイン管理権限奪取後はラテラルムーブメントが行われる。(ただし、RaaSモデルで提供されることから具体的な手法はインシデント個別に異なる可能性はある。)
  • MandiantはDarkSideの関連組織の可能性のある、または以前そうであったロシア語圏の脅威アクターを5つ(UNC2628、UNC2659、UNC2465他)特定していることを明らかにしている。これらのアクターの中には別のランサムウエア(Sodinokibi、Netwalker、Badukなど)のアフィリエイトとの連携も行われている。
  • DarkSideはロシア語圏に由来するグループの可能性が指摘されている。これはロシア語設定された環境で暗号化をランサムウエアが行わないことや、darksuppが広告において旧ソビエト系(CIS)諸国への攻撃を禁止していることから推定されているもの。*11 病院や教育機関なども標的外としており、さらに脅迫で得た身代金の一部を寄付すると主張している。*12
  • DarkSideグループは自身のサイト上で「About the latest news」という声明を5月10日に公開している。Colonial Pipeline社に対する直接の言及はないものの、自分たちの活動目的は金銭であり、社会的問題を起こすことではないとして、将来的な社会的影響回避のため関係者らに対するチェックを開始すると説明。*13

主要サーバーテイクダウンによりデータ流出阻止
  • DarkSideにより窃取されたとされるColonial Pipeline社の約100GBに近いデータの流出が阻止されたと報じられた。データ送信先の米国内のサーバー(中継用サーバーとみられる)が5月8日にテイクダウンされたためで、ホワイトハウス、FBI、CISA、NSAが関わっている。*14
  • テイクダウンはホスティング事業者であるDigitalOceanがMandiantからの通知を受け行ったと報じられている。MandiantはColonial Pipeline社から調査委託を受けたFireEyeの一部門で、調査過程でDigitalOceanのサーバーに保管されていたことが判明した。*15
  • テイクダウンされたサーバーにはColonial Pipeline社以外に20数社の被害組織のデータ格納されていた。侵害進行中の事案に係るデータも含まれていたとみられる。

身代金支払ったとの報道

  • BloombergがColonial Pipeline社が身代金として500万ドル相当の追跡が困難な暗号資産の支払いを行ったと報じた。CNBCも関係者から事実確認を行ったと報じている。*16
  • 取引時期は明らかにされていない。
  • 取引の事実は詳細を把握している匿名の情報筋2名がソース。さらに3人目の情報筋によれば政府関係者も支払い事実を把握している模様。
  • DarkSide側は支払いを受け復号ツールを提供したがツールの復号速度が遅く、システム復元に自社バックアップを使用した。

更新履歴

  • 2021年5月12日 AM 新規作成
  • 2021年5月12日 PM 続報反映(セキュリティ調査組織等の公開情報)
  • 2021年5月13日 PM 続報反映(パイプライン業務復旧)
  • 2021年5月14日 PM 続報反映(身代金支払い報道)

*1:Colonial Hackers Stole Data Thursday Ahead of Shutdown,Bloomberg,2021年5月11日

*2:Cyberattack Forces a Shutdown of a Top U.S. Pipeline,TheNewYorkTimes,2021年5月8日

*3:5月13日時点では米国外からのアクセスをはじいているためか日本国内から接続するとImpervaのブロック画面が表示される。

*4:アラバマ州、アルカンサス州、デラウェア州、フロリダ州、ジョージア州、ケンタッキー州、ルイジアナ州、メリーランド州、ミシシッピ州、ニュージャージー州、ニューヨーク州、ノースカロライナ州、ペンシルベニア州、サウスカロライナ州、テネシー州、テキサス州、バージニア州

*5:米政府、石油パイプライン停止で緊急措置を宣言,日本経済新聞,2021年5月10日

*6:米給油所でガソリン不足、パニック買いも-パイプライン操業停止で,Bloomberg,2021年5月10日

*7:UPDATE 2-Largest U.S. refinery shuts crude units due to Colonial outage -sources,Reuters,2021年5月11日

*8:米 パイプラインへのサイバー攻撃 供給再開も各地で混乱続く,NHK,2021年5月14日

*9:米石油会社サイバー攻撃、背後にロシア拠点集団 バイデン氏発表,AFP通信,2021年5月11日

*10:Ransomware Profile: DarkSide,EMSISOFT,2021年5月11日

*11:US fuel pipeline hackers 'didn't mean to create problems',BBC,2021年5月11日

*12:サイバー攻撃受けた米パイプライン 全面復旧は見通せず,朝日新聞,2021年5月10日

*13:サイバー攻撃の米パイプライン、週末復旧も ハッカー「目的は金」,Reuters,2021年5月11日

*14:Cyber Sleuths Blunted Pipeline Hack, Choked Data Flow to Russia,Bloomberg,2021年5月10日

*15:Colonial Pipeline ‘ransomware’ attack shows cyber vulnerabilities of U.S. energy grid,TheWashingtonPost,2021年5月10日

*16:Colonial Pipeline paid $5 million ransom to hackers,CNBC,2021年5月13日