Colonial Pipelineのような攻撃では、数百万人がサービスを受けられなくなっただけでなく、数百万ドルの収益を損失し、企業の評判が傷つけられ、社会全体が混乱して機能不全に陥りました。一方、攻撃者は利益を手に入れて他の標的を自由に攻撃できるようになり、こうした事態は現実世界に重大な影響を及ぼしています。ランサムウェア攻撃は7年以上も前から継続的に発生しており、組織の規模を問わず民間と公共のどちらも攻撃の被害者になってきました。

しかし、企業は今なおサイバー攻撃、特にランサムウェアのリスクを過小評価しています。では、なぜランサムウェアが組織の最優先事項にならないのでしょうか。Colonial Pipelineの過去の監査では、セキュリティ態勢の重大な欠陥が指摘されており、ある研究者は「中学生でもシステムをハッキングできる状態だった」と述べています。

先日発表されたサイバーセキュリティ強化のための大統領令のほか、GDPRやCPRAなどのプライバシー法の強化によって、データ窃取を取り巻く環境が新たな局面を迎えようとしています。

2019年のNorsk Hydroのランサムウェア攻撃への対応は、同社が信頼するデータを「学習、改善」し、そして最も重要な「保護」するという組織の願望を示す変革のモデルとなりました。Norsk Hydroはこの攻撃を機に、ネットワークセキュリティをゼロから再構築し、ユーザーをアプリケーションに直接接続するゼロトラストアーキテクチャーを採用しました。そして、異なるクラウド環境のワークフローを監視することで、システム間のラテラルムーブメントを制限しました。

Colonial Pipelineもこれに続くのでしょうか。

Colonial Pipelineの攻撃から学んだこと

今回の攻撃は、産業用制御システム(ICS)や運用テクノロジー(OT)に対する標的型攻撃ではありませんでした。2017年のSaudi Aramcoの攻撃とは異なり、パイプラインに物理的な損傷を与えたり、プラントの運用担当者を負傷させたりした形跡はなく、在庫や物流を管理するITシステムをロックする攻撃だったものと考えられます。
身代金の支払いに応じても、時間内に業務を復旧できるわけではありません。十分な計画の基でテストされたバックアップと復旧の戦略が重要になってきます。身代金を支払えば、さらなる攻撃を招く可能性があります。官民合同のタスクフォースが2021年4月にホワイトハウスに提出した81ページの緊急行動計画は、ランサムウェアの犯罪者に利益を与えることは、テロを含む世界的な犯罪を助長するだけだと指摘しています。
保険会社は身代金の支払いを保障の対象から除外するようになっています。世界的な保険会社のAXAは業界初の試みとして、顧客がランサムウェアの攻撃者に支払った身代金を補償するサイバー保険の契約をフランスで停止すると発表しました(その直後にランサムウェア攻撃を受けました)。
米国政府もようやく、このような状況に注目するようになりました。バイデン政権の新しい大統領令は、コンプライアンスに基づくアプローチを上回る対策を組織に求めています。「この大統領令から60日以内に、各連邦機関の長官はゼロトラストアーキテクチャーを実装する計画を策定することが求められる」
攻撃の後処理には高額な費用が必要となります。予定外のダウンタイムが招く収益の損失は、予防対策にかかる費用をはるかに上回るものであることは言うまでもありません。

Norsk Hydroのランサムウェア攻撃への対応が模範である理由

ランサムウェア攻撃は軽減、防止することができます。こうした攻撃に対処した経験を持つNorsk Hydroなどの企業が、そこで得た学びを世界に共有しました。具体的な内容をいくつか紹介します。

Norsk Hydroは身代金の支払いに応じなかった。
攻撃を受けたことを公表し、その対応策についてもすべて公開した。
この攻撃を関係当局に報告するとともに、セキュリティ業界と緊密に連携して他社への攻撃防止に努めた。
これを機にセキュリティとインフラの再構築、再設計、強化への取り組みを開始した。
今後も攻撃を受ける可能性を否定していない。

どんなに綿密な計画を立てたとしても、攻撃を成功させるというのは現実には簡単なことではありません。例えば、Norsk Hydroでは工場スタッフ向けの安全手順書を印刷するためのプリンターが1台も使えませんでした。

「Norsk HydroがO365のようなマネージドクラウドサービスに移行していなかったら、状況はさらに深刻なものになっていたでしょう」- Eivind Kallevik氏、最高財務責任者(CFO)

ランサムウェア攻撃に備えて組織が講じるべき対策

IT/OTアーキテクチャーのビジネスリスクを評価し、攻撃対象領域を削減する：

攻撃対象領域全体を分析しない限り、ICSの脅威を監視できません。
セキュリティ態勢の評価にあたっては、フラットなネットワークがあるか、ITとOTのネットワークが同じリソース(ドメインコントローラーなど)を共有していないか、異なるベンダーのITセキュリティソリューションがネイティブに連携して、キルチェーンを分断できるか(例えば、セキュアWebゲートウェイがエンドポイントセキュリティやSIEMソリューションと連携しているかなど)といった点をクリアにする必要があります。
ゼロトラストをOT環境にも適用することを検討します。攻撃者はインターネット上で見えないシステムにアクセスすることはできません。

エアギャップで分離されたOTネットワークでは、ビジネスニーズを解決できない：

ブラウザー分離を介してICSワークステーションのインターネットアクセスを許可します。ICSの従業員が2台のノートPCを使用すると、セキュリティ問題につながる複雑さが生まれる可能性があります。
OTシステムのリモートアクセスを可能にするために、VPNからソフトウェア定義の境界アプローチを使用したゼロトラストネットワークアクセス(ZTNA)に移行します。

セグメンテーションを適用する：

OT環境の制御、管理、IIoTセンサーのネットワークをセグメント化します。
OTネットワークに実装するのに十分なダウンタイムがないため、完全なマイクロセグメンテーションを目指すべきではありません。OTとITの接点を保護することで、最も大きな利益が得られます。

クラウドを活用する：

Norsk Hydroの経験を教訓にし、できるだけ多くの機能をクラウドに移行します。そうすることで、重要なシステムの迅速な復旧と強力な保護が可能になります。
セキュアアクセスサービスエッジ(SASE)ベースのセキュリティを実装することで、ICSネットワークの攻撃対象領域と複雑性を簡単に軽減できます。

SolarWinds攻撃では、インターンが特権的なソフトウェアに脆弱な内部パスワードを設定したことで、数千の企業や公的機関に大規模な侵害が発生し、国家の安全保障が脅かされることになりました。Oldsmarでは、水処理場で使用していたパスワードを共有していたために、全市民の生命が脅かされました。

今回の大統領令は、米国の重要インフラのセキュリティ態勢を強化するという公約を示すものですが、その多くを管理する民間企業にも同様の対策が求められます。

重要インフラを処理する企業の行動は、何百万人にも影響します。重要インフラを担う企業は、セキュリティのベストプラクティスを採用することで、公共の安全と秩序を維持する必要があります。