米紙ウォール・ストリート・ジャーナルによれば、同社のブラント最高経営責任者(CEO)は、ハッカー集団からの身代金要求に応じ440万ドル(約4億8千万円)を支払ったことを認めた。米連邦捜査局(FBI)は、今回の事件はハッカー集団「ダークサイド」による犯行だと断定している。
今回の事件から、日本を含む企業社会が学ばなければいけない教訓とは何なのか。
専門家の間でも、今回の事件に驚きの声が上がった。情報セキュリティー大手トレンドマイクロのセキュリティーエバンジェリスト石原陽平氏は「かなり時間を要する攻撃。数日や数週間でできる仕事ではない。パイプラインを止めざるを得なくなるほどの被害を与えることは難しい。被害を受けるデータが重要であるほど、警戒も厳しくなる」と指摘する。
トレンドマイクロによれば、ダークサイドはまず、標的とした企業のシステムの弱い場所や、関係者へのフィッシングメールなどを使って侵入する。
国土が広い米国の場合、操作担当者と現場が遠く離れていることが多く、遠隔操作の需要が日本に比べて高い。外部と完全に遮断した「スタンドアローン型」のコンピューター操業するのが難しい弱点を突かれることもあるという。
そして、標的企業のシステムに侵入した後は、ドメインコントローラーなどを介して資格情報を盗む行為などを続ける。最後はネットワーク共用の機能を使ってランサムウェアを送り込むという。
そして、同社のセキュリティーエバンジェリスト岡本勝之氏はコロニアル・パイプラインを舞台にした事件の特徴について「ランサムウェアを使った二重脅迫犯罪」だと指摘する。
Ransom(人質)とsoftwareの造語であるランサムウェアは、コンピューターを使用不能に陥れ、「復旧してほしければ、身代金を払え」と脅迫する不正プログラムだ。
ハッカー集団「ダークサイド」によるランサムウェアを使った攻撃は昨年8月に初めてみつかり、今年4月まで計772台のコンピューターから検出された。日本でも計2台から検出されている。
そして、コンピューターを使用不能にするばかりではなく、「身代金の支払いに応じない場合は、攻撃先の情報をメディアや取引先に暴露する」と二重に脅迫するという。
実際、ダークサイドは20年8月から今年5月半ばまでに、被害を受けた業種はITや金融、製造業など計99社の情報を、ダークサイドの暴露サイトで公開した。被害企業は米国やドイツ、スペイン、カナダなどのほか、日本の海外子会社や支社の計2社も含まれている。
