テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

意図しない結果: サイバー攻撃の収拾がつかなくなるとき

Marcus Fowler, Director of Strategic Threat | 2021年6月8日火曜日

1988年のことです。ハーバード大学のある卒業生が、インターネットに接続されているコンピューターの台数を計測する実験を行いました。24時間後、世界中にあったコンピューターの10%がダウンし、数百万ドルにのぼる損害が発生しました。ロバート・タッパン・モリスは、世界初のコンピューターワームをうっかり作成してしまったのです。

自分のプログラムが複製される速度に気が付いたモリスは、ワームを除去して攻撃を抑えるための説明を被害者たちに送信しようとしましたが、もはや手遅れでした。モリスは翌年起訴され、1万ドル以上の罰金を支払うことになりました。

さて現代に戻ると、私たちはサイバー脅威の誤算の最新事例に直面しています。言い換えると、自分たちの攻撃がもたらす影響のすべてを単純に理解していない犯罪者グループです。DarkSideランサムウェアグループは、おそらくColonial Pipeline社のITシステム部門とコーポレートビジネス部門を攻撃しようとしただけですが、マルウェアの影響を過小評価していました。結果は悲惨なものでした。米国東海岸全体にわたる原油供給がストップし、ガソリン不足、買いだめ、そして世界中のガソリン価格の急上昇を招いたのです。

社会的責任を示すかのように、DarkSideグループは、攻撃に対する一見心のこもった謝罪を公開しました。

我々は政治に関心はありません、地政学には関わっていません、特定の政府とのつながりや他の意図は一切ありません。今後はモデレーションを導入し、暗号化を希望する各企業をパートナーがチェックすることで、社会への悪影響を防止します。

この声明の背後にある動機は明白で、つまり保身です。攻撃の影響は、Colonial Pipeline社だけではなくDarkSideグループ自身にも及びました。米国政府による本気の追及のターゲットになるとともに、悪目立ちしたことで他の犯罪者グループからのけ者になりました。さらに、今まで国から受けていたかもしれない公式あるいは非公式の監督や保護も失ったのです。

想定外の結果が生じ、自身とそのインフラへの直接の措置が懸念された結果、1週間以内にDarkSideは活動を永久停止すると発表しました。しかし、別の名前で再び姿を現すこともあるでしょうし、入れてもらえるなら他のグループに加わるかもしれません。

サイバー攻撃の影響と付随的損害に関する判断を誤ると、意図しないさまざまな結果を引き起こすことがあります。サイバー犯罪者グループが警察からの追及の高まりを感じるようになったり、国家による争いが意図を超えて悪化したりします。

そのため、多くのランサムウェアグループはこれまで、当局の目を避けて行動する傾向がありました。70%を超えるランサムウェア攻撃は中小企業を標的としています。残念ながら、多くのサイバー犯罪者が病院や重要なインフラなどの比較的大規模な組織を避けることを誓っているにもかかわらず、記録的な額の身代金が迅速に支払われることへの魅力から、ヘルスケア業界、さらにはワクチン開発の取り組みまでが、ランサムウェアの大きなターゲットとなっています。

大手RaaS(Ransomware-as-a-Service)グループのREvilは、Colonial Pipeline社のインシデントを受け、間違いなくFBI特別手配リストの上位に入れられることを恐れたに違いありません。そこで次のポリシーを発表しました。

  1. 社会事業分野(ヘルスケア、教育機関)に対する利用は禁止します。
  2. いかなる国の政府部門に対する利用も禁止します。

サイバー犯罪組織は、政治に関心はなく、金儲けのみが動機であるとよく言い張ります。

しかし、やりすぎると攻撃が地政学的緊張に波及することもあります。その結果、各国政府が大統領令などを発するようになったり、サイバー脅威が新聞の紙面を飾ったりすることになります。これらはすべて、犯罪者グループのビジネスには悪影響です。そして、手に負えなくなると、MazeやJokerooなどのランサムウェア組織が過去にそうしたように、「やめる詐欺」として知られる手口で水面下に隠れてリブランディングするか、あるいは今年初めのEmotetボットネットの強制停止に見られるように完全にシャットダウンされるかのどちらかになります。

サイバー攻撃の影響の予測とコントロールはますます難しくなっています。理由は2つあります。第一に、相互接続性の問題です。私たちの住むデジタル化された世界は、相互接続があまりに進んでいるため、1つのサーバーに対する攻撃が世界中に影響を及ぼすことがあります。サプライチェーンの下流への波及効果、ITとOT(運用技術)の統合、1か国に対するサイバー脅威の世界中への影響などがその例です。

政府機関よりも孤立している民間企業は、この巻き添え被害をしばしば最もまともに受けます。たとえばNotPetyaランサムウェアです。ウクライナのインフラを標的とした攻撃の収拾がつかなくなり、世界中の工場を麻痺させるとともに、海運企業Maerskに3億ドルの損害をもたらしました。

2番目の理由は、高度なツールへのアクセスが容易になったことです。サイバー犯罪の商用化によって、それほど高度でない者であっても最新のマルウェアを用いて、簡単にすばやく攻撃を開始できるようになりました。実際、Colonial Pipeline社への攻撃は、DarkSideのマルウェアに金銭を支払った関連組織によって画策されたとみられています。これによって、誰が狙われているかを監視するのははるかに難しくなります。RaaSに至っては、開発者自身も自分のマルウェアがどのように使用されるかわからないでしょう。

サイバー攻撃を準備する際に、実行者が標的の環境に対して100%の情報を持っていることはめったにありません。たとえば、銀行の1部門に影響を与えようという意図だったとしても、同じ配電網に近隣の病院が含まれていることに攻撃者が気づいていなければ、状況はたちまちエスカレートするおそれがあります。そして、パワフルなツールの機能について関心も理解も不足している、スキルの低い攻撃者であれば、誤算はあまりにたやすく起こりえます。

私たちの知る限り、DarkSide自体は国家が資金提供するAPTではなく、単なる民間の犯罪組織です。しかし彼らは、自社のランサムウェアを「世界最速」と宣伝し、未曾有の破壊的かつ致命的なサイバー攻撃インフラを築き上げました。モリスワームからColonial Pipelineまでの歴史が示すように、マルウェアが高速、かつ伝播されるように設計されている場合、その動きは予測できません。瓶から飛び出した強い破壊力を持つ精霊を元の場所に戻すことはほとんど不可能なのです。

自動化とAIを使った攻撃が現実化するにつれ、これらのトレンドは指数関数的に増加し、脅威環境をがらりと変えてしまいます。ランサムウェアはもはや人間の手に負える規模の問題ではありません。組織の回復力のために重要なのは、投入する人数を増やすことでも、あるいは既存のチームのスキルアップを図ることでもありません。マシンスピードの攻撃には、伝播と同じくらい迅速に適応できる、マシンスピードでの対応が必要です。ランサムウェアの阻止は、取締役会レベルの問題でもあり、国家防衛上の懸案でもあります。したがって、今日、そして明日の脅威の予測不能性と速度に対処するには、自己学習型AIテクノロジーが不可欠です。

この事例についてはLucas Marsden-Smedleyが貢献しました。

Colonial Pipelineのような攻撃をDarktraceで検知する方法について詳しく知る

Marcus Fowler

Marcus Fowler spent 15 years at the Central Intelligence Agency developing global cyber operations and technical strategies, until joining Darktrace in 2019. He has led cyber efforts with various US Intelligence Community elements and global partners, and has extensive experience advising senior leaders on cyber efforts. He is recognized as a leader in developing and deploying innovative cyber solutions. Prior to serving at the CIA, Marcus was an officer in the United States Marine Corps. Marcus has an engineering degree from the United States Naval Academy and a Masters’ Degree in International Security Studies from The Fletcher School. He also completed Harvard Business School’s Executive Education Advanced Management Program.