セキュリティ侵害に関するお問い合わせ

REvil ランサムウェアによるJBSへの攻撃 | 重要インフラストラクチャにおけるセキュリティ強化の必要性

ランサムウェア攻撃に関するニュースが毎週のように報道されている中で、今回は、肉加工業者である JBSだけでなく、ニューヨーク メトロポリタン トランジット オーソリティと、マサチューセッツ汽船オーソリティが被害を被りました。ランサムウェア攻撃は決して新しいものではありません。過去、数年間にわたり悪意を持った犯罪者が、個人や組織のデータを暗号化し解読できないようにして、身代金を要求してきました。しかし、最近では、生活に欠かせない重要な公共サービスを狙った攻撃がますます増加し、その規模や攻撃パターンの種類が大幅にエスカレートしています。

重要な公共サービス – ランサムウェア攻撃の格好の標的

2 週間前には、DarkSide と呼ばれる犯罪ハッカー集団が、東海岸の大部分の地域の燃料の半分近くを供給しているコロニアル パイプラインを攻撃しました。パイプラインが閉鎖されたというニュースが、国内の多くの地域でパニック買いを引き起こし、いくつかの州では、大規模なガソリン不足にまで発展しました。

ランサムウェアがエネルギー供給業者を襲ったのは初めてではありません。 2020 年 2 月に、天然ガスプラントがランサムウェア攻撃により2 日間の操業停止を余儀なくされた後には、CISAが、すべてのオペレーショナルテクノロジー(OT:交通手段やライフラインといった社会インフラにおいて、それに必要な製品や設備、システムを最適に動かすための技術)に対して対策を促すようにアドバイスを行いました。この攻撃はスピア フィッシング メールによって仕掛けられましたが、ランサムウェア攻撃では、窃取された資格情報、総当たり攻撃、デスクトップ共有アプリを介したインストールなど、さまざまな手段を介して標的を感染させるケースが増えています。

食品やエネルギーの供給業者、学校や医療機関などの重要なインフラストラクチャは、犯罪者の格好の標的として狙われることがよくあります。これらのセクターの多くの組織は公的資金を受けており、多くの場合、民間企業のように大規模で十分なリソースを駆使できる予算と専門知識の両方が不足しています。そのため、CISAが「重要なインフラストラクチャ」として指定している 16 のセクターの中で、政府の施設、教育、ヘルスケア セクターが、ランサムウェアの犠牲になることが最も多くなる傾向にあります。 2018 年以降、病院、学校、アトランタ、グリーンビル、ボルチモア、リビエラ ビーチ市議会などの都市に対するランサムウェア攻撃の相次ぐ事例は、特に注目に値します。

食品や農業部門での攻撃はそれほど一般的ではありませんが、報告によると、食品会社を標的にしたランサムウェアは、過去 12 か月間で少なくとも 40 件のインシデントが報告されています。そして残念なことに、先週の JBSのインシデントで見られたように、大手の食品販売業者がランサムウェアに襲われた場合、企業に金銭的損失をはるかに超える影響をもたらす可能性があります。

ランサムウェア攻撃の魅力的な標的だった食品供給業者

JBSへの攻撃は、米国だけでなく世界中の国々における食糧供給に対する大規模な攻撃の代表例と言えます。 JBSは、150以上の工場と 15 か国に150,000人以上の従業員を擁する世界最大の食肉サプライヤーです。米国において、同社は牛肉、豚肉、鶏肉の第 2 位の生産者であり、米国の牛肉の約 4 分の 1、豚肉の約 5 分の 1 の食肉加工を担っています。

JBSは、同社のプレスリリースにおいて、「北米とオーストラリアのITシステムのサーバーの一部に影響を与えた組織的なサイバーセキュリティ攻撃の標的」であると言及しています。一方で、米国農務省は、標的は他の主要な食肉加工業者にも及んでおり、可能な限り、さらなる攻撃に対する防御に注力するように推奨するようにアナウンスしています。また、アメリカ合衆国農務省は、供給を維持し、潜在的な価格問題を緩和することの重要性を強調していました。

同社は、その週の木曜日までに、攻撃中に生産された食料の損失を、1日分未満の生産量に削減することに成功し、グローバル事業全体で失われた生産量が「翌週末までに完全に回復する」というプレスリリースを発表しました。

REvil(Sodinokibi:ソディノキビ)によるJBS攻撃

一方、FBIは、同日に、攻撃を REvil ギャング集団によるものだとのツイートしています。

REvil ランサムウェア グループは、少なくとも 2019 年半ばから活動しています。(それぞれの攻撃で、身代金が支払われたかどうかは不明です)。

ランサムウエアの攻撃オペレーションチームでは、さらに、脆弱なセキュリティ制御を回避できるように、RaaS (サービスとしてのランサムウェア) を微調整してきています。最近のバージョンでは、-smode 引数を使用して、感染したコンピュータを Windows Safe Mode with Networking に再起動しようとしています。ランサムウェアは、ユーザーのパスワードをハードコードされた値に変更し、新しい資格情報で自動的にログインします。SentinelOne プラットフォームなら、本バージョンージョン (に加えてその他すべてのバージョン) の REvil ランサムウェアから保護(ライブハックビデオ)が可能です。

この攻撃については、まだ結論が出ておらず、身代金を支払ったかどうかなど、多くの事実は不明のままです。 (ブログ公開時点)JBS は、生産が中断された工場ですぐに生産の回復が可能だとの楽観的な見方を示しましたが、米国の牛肉収穫能力の 5 分の 1 に対する短い期間の中断でさえも、市場に多大な波及効果をもたらす可能性があり、牛肉や、その他のタンパク質の価格の短期的な供給不足と価格上昇を引き起こす可能性があり、食品サプライチェーン全体により長い混乱を招く甚大な影響を与えた可能性があります。

犯罪者ハッカーは新しい脆弱性を巧みに調査し、これまでは特にサイバーに依存するとは考えていなかった場所で新たな市場機会を見出しました。少なくとも表面上は、牛肉の収穫は、さほどハッキングに対して脆弱ではないように見えるのですが、一方で、すべての個人と企業が潜在的には、ますます脆弱になっているのだと言えそうです。

ランサムウェア攻撃と重要なインフラストラクチャにおける対策の次の一手とは?

これらの攻撃が、今後さらに破壊的な事態を引き起こすのではないかという恐怖感を呼び起こしています。犯罪者ハッカーが送電網に大きな打撃を与えたり、大規模なエネルギー供給者や大都市の電力会社を持続的に攻撃したりしたら一体どうなることでしょうか?これまで、民間の重要インフラに対するこの種の大規模な攻撃に対しては、国家主体が保護していた領域であり、少なくとも米国では、日常的に対処しなければならない問題よりも、より大きく認識されていたはずの脅威でした。

これがまさに、相互にインターネットで接続された世界の現実なのです。サイバー脅威は社会全体の脅威です。多大な影響を与える攻撃は、もはや単なる地政学的な懸念ではなく、国家と非国家の両面で常に存在している脅威なのです。どちらに対しても付け入る脆弱性と問題点がないかどうか絶えず攻撃者に探されているので、適切に対処するには、脅威の規模と即時性をきちんと認識する必要があります。食料供給、電力網、病院システム、その他重要なインフラストラクチャを保護するには、すべての公的機関と民間企業が対策を講じて脅威に対処する必要があるのです。

SentinelOne Singuarlityプラットフォームが、組織の目標の達成にどのように役立つのか、詳細については、こちらからお問い合わせください。また無償の製品デモはこちらお問い合わせください。


LinkedInTwitterYouTube、またはFacebookでSentinelOneをフォローして、今後のブログコンテンツをご確認ください。

サイバーセキュリティについてもっと読む