2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。ここでは関連する情報をまとめます。
予防的措置でパイプライン全停止(2021/5/7)
- 被害に遭ったのはメキシコ湾岸の精製業者から米国南東から北東(NY港、NY空港まで)にかけ約8,850㎞のパイプラインを運用する会社。ガソリン、ディーゼル、ジェット燃料など1日に250万バレル(米東海岸で消費される半分近くのシェア 約45%)を輸送している。
- サイバー攻撃は米国時間で5月6日に始まり、ランサムウエアによりColonial Pipeline社内の一部のITシステムが影響を受けた。同社が攻撃事実に気づいたのは7日。わずか2時間で100GB近いデータ窃取が行われた可能性があったことから、予防的措置としてパイプライン全体の停止が行われた。*1
- パイプライン停止が行われた理由として第三者がパイプラインへの攻撃を可能とする情報を入手した可能性があることを考慮したためであり、5月12日時点でランサムウエアによる影響が直接パイプラインに及んだとの公式発表はされていない。またCISAも影響を受けたのはITシステムであり、OTシステムにラテラルムーブメントされた兆候は確認していないとしている。(一部研究者らは制御システムへの直接的な影響の可能性も指摘している。)*2
- 今回の事案による影響はこれまで米国で発生したエネルギーインフラに対するサイバー攻撃として最大と複数の専門家が述べている。
- パイプラインは順次復旧が進められ、5月12日17時頃までにサービスが再開された。また15日までにシステムも正常な状態で供給が開始されたことを報告した。
輸送停止による米国内への影響
- Colonial Pipeline社は事案による対処状況について5月8日以降、アップデートを行っている。
https://www.colpipe.com/news/press-releases/media-statement-colonial-pipeline-system-disruption *3
| 発表日時 | 概要 |
|---|---|
| 5月8日 12時30分 | ランサムウエアによるサイバー攻撃を受けたことが判明。ITシステムの一部に影響が及び、脅威封じ込めのため特定のシステムをオフライン化し、これを受けパイプラインによる輸送業務も一時停止。大手セキュリティ調査会社による調査を開始。法執行機関、連邦機関へ連絡。 |
| 5月9日 17時10分 | 継続して調査中。安全な状態へのシステム復旧とパイプラインの運用上のセキュリティ維持を優先事項としている。これまで48時間にわたり、パイプラインの安全性とセキュリティの監視、保護のために追加の予防措置を実施。メインライン(ライン1,2,3,4)はオフラインのままだが、ターミナルと配送ポイン間の側線は稼働している。他側面サービスの復旧過程にある。 |
| 5月10日 12時25分 | 正常にネットワークを復旧するには入念な修復を必要とするため時間を要する。週末までに運用サービスの大半を復旧するという目標がある。政府の緊急措置による規制緩和を受け、自社施設、他貯蔵タンクの貯蔵量を確認し、ターミナルへの現地配送を行っている。 |
| 5月10日 19時50分 | ノースカロライナ州グリーンズボロからメリーランド州ウッドバインまでの4号線は在庫利用が可能な間にかけて、手動制御で稼働している。メインラインは現在もオフラインのままだが、複数の側線は稼働中である。 |
| 5月11日 17時15分 | 既存の在庫を市場に配送しており、供給制限や他の代替手段がない市場を優先的に対応中。これまでに配送ポイントへ約967,000バレルを配送済。再起動時に展開するために製油所から追加で200万バレルの配送を受けている。パイプラインは空中パトロールを強化し、50人以上を配置して毎日5000マイルのパイプラインを徒歩、運転をしている。 |
| 5月12日 17時10分 | 12日17時頃、パイプライン操業を再開。配送業務が正常に戻るまで数日を要する見込み。一部市場で断続的なサービス中断発生の可能性もあるが、正常に戻るまで可能な限り多くの輸送を継続する。連邦政府のパイプライン安全要件をすべて満たし、一連の包括的な安全評価を実施する。今回の対応は従業員の24時間体制のサポート無しには実現されなかった。 |
| 5月13日9時 | サービス提供先の市場の大半に輸送が開始された。13日正午までに各市場でシステムから輸送された製品を受領できる見込みである。 |
| 5月13日 16時40分 | パイプラインシステム全体が再開。輸送に係るサプライチェーンが正常な状態に戻るまで数日を要する。 |
- Colonial Pipeline社は影響調査のためにサイバーセキュリティ企業(FireEyeと報じられている)に依頼を行った他、また米エネルギー省や法執行機関との連携もしていると説明。
- 事態対処のため政府内にタスクフォースが設置され、米運輸省は事案発生による混乱回避のため燃料輸送に関する緊急措置導入を5月9日に発表。規制緩和(輸送を担う運転手の労働時間規制)を一時的に行うもので、陸上輸送といった代替手段を取りやすくする。対象は17の州、コロンビア特別区*4で緊急事態が終了するか、6月8日夜まで有効。*5
- 事案を受け燃料価格高騰などの影響が懸念されたが、ガソリン在庫が米国内にも十分にあったことから現時点での価格影響は軽微な動きを示している。(New York Mercantile取引所では5月7日金曜日にガソリン、ディーゼルの価格は先物で約1%の上昇。その後4%程度の上昇がみられた模様。)
復旧始まるも一部で混乱発生
公聴会で侵害経緯を説明
- 6月8日に国土安全保障および政府問題委員会の上院公聴会で Colonial Pipeline社のCEOが侵害経緯などを説明している。*9
- 調査会社はFireEye。同社への侵害はレガシーVPNを通じて行われた。このVPNは情報システムのスタッフは把握していなかった。
- VPNのパスワードはColonial 123のような単純なものではなく複雑なパスワードであったものの、既に侵害されたパスワードであった。また多少素認証も使用していなかった。
- 身代金の支払いは5月7日に決定したが、支払は5月8日まで行われなかった。支払いを公表しなかった理由としては国にとって正しいことを挙げている。
DarkSideランサムウエアが利用されたと特定(2021/5/10)
- 5月10日、FBIはDarkSideと呼称されるランサムウエアが今回の犯行に使われたと声明で明らかにした。また同日に米大統領はロシア拠点のグループが攻撃を実行したと発言。ただし、米情報機関からロシア政府関与の証拠は確認されていないとして、容疑者らがロシアにいる可能性をあげるも政府関与の考えはないとした。*10
- DarkSideは2020年8月最初に観測されたランサムウエア、および同名のグループ。Windows、Linux環境をターゲットに暗号化を行う他、他グループでも見られる二重脅迫も行う。RaaS(ransomware-as-a-service)モデルとして提供されており、アフィリエイター(ランサムウエアを被害組織で実行する役)に身代金の一部として75%~90%が支払われるとの報告がある。*11 2020年11月以降に「darksupp」はロシア語圏のフォーラム(exploit.in、xss.is)においてDarkSideのRaaSの広告を開始している。最近では3月下旬に電話サービス(アフィリエイターが被害組織に身代金支払いの圧力を電話で手配)や4月中旬には被害組織に対するDDoS攻撃を開始するサービスの提供も発表している。
- 侵入経路として、脆弱なリモートサービスの悪用が報告されており、TorやCobalt Strikeを介したRDP経由で被害組織との接続を行う。偵察フェーズではMimikatz、advanced_ip_scanner.exe、psexec等の定番ツールを使用した資格窃取行為が行われ、ドメイン管理権限奪取後はラテラルムーブメントが行われる。(ただし、RaaSモデルで提供されることから具体的な手法はインシデント個別に異なる可能性はある。)
- MandiantはDarkSideの関連組織の可能性のある、または以前そうであったロシア語圏の脅威アクターを5つ(UNC2628、UNC2659、UNC2465他)特定していることを明らかにしている。これらのアクターの中には別のランサムウエア(Sodinokibi、Netwalker、Badukなど)のアフィリエイトとの連携も行われている。
- DarkSideはロシア語圏に由来するグループの可能性が指摘されている。これはロシア語設定された環境で暗号化をランサムウエアが行わないことや、darksuppが広告において旧ソビエト系(CIS)諸国への攻撃を禁止していることから推定されているもの。*12 病院や教育機関なども標的外としており、さらに脅迫で得た身代金の一部を寄付すると主張している。*13
- DarkSideグループは自身のサイト上で「About the latest news」という声明を5月10日に公開している。Colonial Pipeline社に対する直接の言及はないものの、自分たちの活動目的は金銭であり、社会的問題を起こすことではないとして、将来的な社会的影響回避のため関係者らに対するチェックを開始すると説明。*14
主要サーバーテイクダウンによりデータ流出阻止
- DarkSideにより窃取されたとされるColonial Pipeline社の約100GBに近いデータの流出が阻止されたと報じられた。データ送信先の米国内のサーバー(中継用サーバーとみられる)が5月8日にテイクダウンされたためで、ホワイトハウス、FBI、CISA、NSAが関わっている。*15
- テイクダウンはホスティング事業者であるDigitalOceanがMandiantからの通知を受け行ったと報じられている。MandiantはColonial Pipeline社から調査委託を受けたFireEyeの一部門で、調査過程でDigitalOceanのサーバーに保管されていたことが判明した。*16
- テイクダウンされたサーバーにはColonial Pipeline社以外に20数社の被害組織のデータ格納されていた。侵害進行中の事案に係るデータも含まれていたとみられる。
身代金を支払ったとの報道(2021/5/13)
- BloombergがColonial Pipeline社が身代金として500万ドル相当の追跡が困難な暗号資産の支払いを行ったと報じた。CNBCも関係者から事実確認を行ったと報じている。*17
- 取引時期は明らかにされていない。
- 取引の事実は詳細を把握している匿名の情報筋2名がソース。さらに3人目の情報筋によれば政府関係者も支払い事実を把握している模様。
- DarkSide側は支払いを受け復号ツールを提供したがツールの復号速度が遅く、システム復元に自社バックアップを使用した。
- ブロックチェーン分析を行うEllipticによれば、5月8日に75BTCがDarkSideの支払先とみられるウォレットへ送金されていた。
- DarkSideのものとみられるウォレットには同様にDarkSideによって被害に遭った化学薬品販売のBrenntagによって5月11日に78.29 BTCの送金が行われていることが判明している。また3月4日からこのウォレットはアクティブで21の異なるウォレットから57回の送金を受けているという。
- 以前の送金を辿るとビットコインの18%は小さな取引所へ送金が行われていた。さらに4%は世界最大のダークウェブマーケットであるHydraへ送金されていた。
- その後、取材に対してCEOがDarkSideへ440万ドルの支払いを行ったことを認めたとする報道を行った。物議をかもす判断としつつ社会的影響から必要な措置と説明。*18
DarkSide活動停止か(2021/5/13)
DarkSideが米国からの圧力を理由に、RaaSプログラムの活動停止を報告したことがセキュリティ研究者らによって5月13日に報告された。
- DarkSideがアフィリエイター向けに提供したメッセージ(Intel471)や「DarkSide CLOSED」としてTelegramのRussian OSINTチャネルに投稿されたメッセージをソースとしたもの。(KrebsOnSecurity)
- メッセージによればサーバー(国名は不明)が押収され、暗号資産のウォレットから広告元、運営者の資金が不明のアカウントへ送金されたというもの。EllipticもDarkSideのものとみられるウォレットから500万ドル相当のBTCが送金されていた。
- メッセージ投稿の数時間前にDarkSideの公開されたインフラストラクチャ(リークサイト、身代金収集用のWebサイト、侵害データ格納に使用されたCDN)にアクセスが出来なくなった。(DarkSideのリークサイトが13日以降接続できないことが複数人から報告されていた。)これらのサーバー類でSSHが接続不可、管理パネルが閉鎖された。DarkSideはこれを受け活動停止を報告。またこれまでに攻撃を行った全ての関連する組織に対して復号ツールの提供をすることを報告。
RaaS界隈での動き
Colonial Pipeline社の件を受け、RaaSプログラム関係に変化が生じた。
- RaaSアフィリエイトの募集が行われていたフォーラム(XSS、exploit)は今後恒久的にRansomwareに関連するトピック投稿を禁止する(投稿は削除される)と発表。これらのフォーラムではRevil、DarkSide、Netwalker、Nefilimなどが募集を行っていた。
- BadukはRansomwareのソースコードを別のグループに引き渡し、新ブランドで開発継続すると主張。
- DarkSideのTelegramへの投稿にはREvil(Sodinonkibi)の代表とされるメッセージも含まれていた。Avaddonの関係者と調整が行われたものとされ、アフィリエイターに対して新しい制限を導入すると声明。社会セクター(医療、教育機関)やあらゆる国の政府セクターに対して感染行為を行う前に承認を得る必要があるというもの。
身代金 奪取の顛末
- 米司法省、FBIは6月8日に身代金として支払われたビットコインの一部を差し押さえしたことを明らかにした。
- DarkSideより要求された身代金は約75BTCで、2回(75.0005BTC、0.00001639BTC)の支払いが行われていた。その後のこの2回の支払いの内75BTCの方を攻撃者がもう片方の支払いが行われたアドレスへ異動させた。
- 支払われたビットコインの内63.7BTC(その当時約230万ドル相当)がFBI管理のウォレットへ送金された。
- FBIは元のウォレットの秘密鍵を入手しているが、これをどのように入手したかについては明らかにされていない。
- 押収されたビットコインはアフィリエイターの報酬とみられ、残りの15%相当のビットコインはDarkSideの開発者へ渡ったとみられる。
関連リンク
- CISA Alert (AA21-131A) DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks
- FireEye Shining a Light on DARKSIDE Ransomware Operations
- Intel471 Here’s what we know about DarkSide ransomware
- Intel471 The moral underground? Ransomware operators retreat after Colonial Pipeline hack
- KrebsOnSecurity A Closer Look at the DarkSide Ransomware Gang
- KrebsOnSecurity DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized
- TrendMicro What We Know About Darkside Ransomware and the US Pipeline Attack
- ELLIPTIC Elliptic Follows the Bitcoin Ransoms Paid by Colonial Pipeline and Other DarkSide Ransomware Victims
更新履歴
- 2021年5月12日 AM 新規作成
- 2021年5月12日 PM 続報反映(セキュリティ調査組織等の公開情報)
- 2021年5月13日 PM 続報反映(パイプライン業務復旧)
- 2021年5月14日 PM 続報反映(身代金支払い報道)
- 2021年5月16日 AM 続報反映(RaaS界隈の動向)
- 2021年6月9日 PM 続報反映(身代金奪取の顛末、CEO上院公聴会)
*1:Colonial Hackers Stole Data Thursday Ahead of Shutdown,Bloomberg,2021年5月11日
*2:Cyberattack Forces a Shutdown of a Top U.S. Pipeline,TheNewYorkTimes,2021年5月8日
*3:5月13日時点では米国外からのアクセスをはじいているためか日本国内から接続するとImpervaのブロック画面が表示される。
*4:アラバマ州、アルカンサス州、デラウェア州、フロリダ州、ジョージア州、ケンタッキー州、ルイジアナ州、メリーランド州、ミシシッピ州、ニュージャージー州、ニューヨーク州、ノースカロライナ州、ペンシルベニア州、サウスカロライナ州、テネシー州、テキサス州、バージニア州
*5:米政府、石油パイプライン停止で緊急措置を宣言,日本経済新聞,2021年5月10日
*6:米給油所でガソリン不足、パニック買いも-パイプライン操業停止で,Bloomberg,2021年5月10日
*7:UPDATE 2-Largest U.S. refinery shuts crude units due to Colonial outage -sources,Reuters,2021年5月11日
*8:米 パイプラインへのサイバー攻撃 供給再開も各地で混乱続く,NHK,2021年5月14日
*9:Colonial CEO at Senate Hearing Details Ransomware Attack,BankInfoSecurity,2021年6月8日
*10:米石油会社サイバー攻撃、背後にロシア拠点集団 バイデン氏発表,AFP通信,2021年5月11日
*11:Ransomware Profile: DarkSide,EMSISOFT,2021年5月11日
*12:US fuel pipeline hackers 'didn't mean to create problems',BBC,2021年5月11日
*13:サイバー攻撃受けた米パイプライン 全面復旧は見通せず,朝日新聞,2021年5月10日
*14:サイバー攻撃の米パイプライン、週末復旧も ハッカー「目的は金」,Reuters,2021年5月11日
*15:Cyber Sleuths Blunted Pipeline Hack, Choked Data Flow to Russia,Bloomberg,2021年5月10日
*16:Colonial Pipeline ‘ransomware’ attack shows cyber vulnerabilities of U.S. energy grid,TheWashingtonPost,2021年5月10日
*17:Colonial Pipeline paid $5 million ransom to hackers,CNBC,2021年5月13日
*18:米パイプライン攻撃で身代金4.8億円支払い 運営企業CEOが認める,AFP通信,2021年5月20日
