Daily Comment
The Colonial Pipeline Ransomware Attack and the Perils of Privately Owned Infrastructure
コロニアル・パイプラインへのランサムウェア攻撃で明らかになった民間企業が保有する基幹インフラの脆弱性
For years, businesses have resisted efforts from the federal government to hold them to robust cybersecurity standards.
何年もの間、民間企業は米連邦政府が要求する厳格なサイバーセキュリティ基準を無視してきました。
By Sue Halpern May 19, 2021
5月8日、私はバージニア州ノーフォークに飛行機で行きました。コロニアル・パイプライン社の情報システムがランサムウェアによって攻撃されたというニュースが飛び込んできた頃でした。その結果、同社は米国東部で最大級のパイプラインを持っていますが、燃料を供給するパイプラインを遮断せざるを得ませんでした。母の日の週末でしたので、空港のレンタカーのカウンターには長い行列が出来ていました。ほとんどがこれからレンタカーを借りる人でした。列が進みようやく私の順番になった時、受付の人から返却時にはガソリンを満タンにして返すよう指示されました。その時点で私は、コロニアル・パイプライン社のパイプラインが遮断されるとどのくらい影響があるかということを認識していませんでした。同社のパイプラインは、テキサス湾からニュージャージー州リンデンまで伸びていて(約8,000キロ)、バージニア州への最大の燃料供給業者であるということなど知りませんでした。州知事のラルフ・ノーサムは3日後の5月11日に、パイプライの操業停止が続いている状況に対応して緊急事態を宣言しました。
もちろん、その時点でも、私と違ってバージニア州に住んでいる人なら、状況を理解していたでしょう。多くのガソリンスタンドが閉鎖され、営業しているガソリンスタンドには順番を待つ車の列が出来ていました。私の母はそうした状況を見て、「まるで70年代のようね。」と言いました。私と母は車に乗ったまま順番が来るのを待っていましたが、私たちの車の前にはプラスチックの容器を抱えた人も並んでいました。ワシントンでは、バイデン大統領が声明を出し、ガソリンスタンドのオーナーに便乗値上げをしないよう要請しました。バイデンは、「このような事態で便乗値上げをする米国民はいない。」と言いました。バイデンの言っていたことは概ね正しく、実際、値上げしているところはほとんどなたっかようです。私が見た限りでは、需要が逼迫して、パニック買い状態になっているにもかかわらず、ガソリン価格は1ガロンあたり3ドルを下回ったままでした。
便乗値上げがほとんど発生しなかったのは素晴らしいことです。しかし、米国では2013年以降で重要な基幹インフラに対するランサムウェア攻撃が1,000件近くも報告されています。公共交通機関や下水処理施設や通信システムや医療機関などが標的になりました。ランサムウェア攻撃を受けた企業の復旧コストは平均で約200万ドルです。また、被害は金銭面だけではありません。昨秋にサイバー攻撃を受けたバーモント大学医療センターは金銭以外にも被害を受けた例の1つです。失われた収益と復旧費用で合わせて1日当り150万ドルの損失が出ただけでなく、医療センターは一時的に300人の職員を一時帰休か再配置せざるを得ず、ほとんどの手術を中止し、外来患者の診療も延期もしくは中止しました。同医療センターのIT担当責任者ダグ・ジェンタイルが言うには、医療センター側ではハッカー集団に屈するつもりが無かったので、身代金の支払いに関する指示がふくまれていると推測されるリンクは開きませんでした(そうしないで、FBIに連絡しました)。このようなことは珍しいことではありません。昨年、ランサムウェア攻撃の被害を受けた企業や団体の約4分の3がハッカー集団に身代金を払いませんでした。また、ハッカー集団に身代金を払ってデータの復旧を図った例では、平均すると奪われたデータで復旧したのは65%のみでした。
公表されていますが、コロニアル社は、身代金を支払いました。FBIによると、同社がランサムウエア攻撃を受けたと公表した時点の5月8日に、東欧に拠点を置くハッカー集団に500万ドルのビットコインを送金していました。(後に、バイデンはハッカー集団はロシアにいた可能性が高いと指摘しました。)しかし、身代金を支払ったのですが、復号ツールの動作があまりにも遅い為、5日経っても復旧しませんでした。米国土安全保障省によれば、もしもパイプラインがさらに3、4日閉鎖されたままだったとしたら、ディーゼル燃料が不足して、全土で食料やその他の生活必需品の輸送が滞る事態に陥ったでしょう。
米政府はランサムウエア攻撃などのサイバー攻撃を受けると壊滅的な影響が出ると認識しており、被害を受けないための防止策を構築すべきだと誰もが思うでしょう。2015年に、オバマ大統領はサイバー攻撃の脅威の迅速な特定と効果的な防衛を目的として、民間部門内の連携強化や官民の情報共有を促す大統領令に署名しました。そして、米国土安全保障省は、ダム、軍事施設、農業施設、医療機関など12種類を運営する事業者を「重要インフラ事業者」に指定しました。オバマは、「そうした施設は米国にとって非常に重要であるため、破壊されたり機能不全に陥れば国民生活に壊滅的な影響を与える可能性がある。」と述べていました。重要インフラ事業者の指定が為されましたが、実効性は大してありませんでした。米国土安全保障省は重要インフラ事業者にサイバーセキュリティ指針を示しました。しかし、重要インフラ事業者の多くは民間企業でしたので、その指針に強制力はなかったのです。
パイプラインや発電所や送電網などエネルギー関連企業の80%は民間企業です。2015年に米国土安全保障省はエネルギー計画の見直しを実施し、そこには、「サイバー攻撃の脅威から米国のエネルギー関連インフラを保護するという責任を官民で連携して果たすため、共通の目標と仕組みが必要である」との記述がありました。しかし、その後具体的な目標は何ら示されておらず、何の仕組みも作られていません。
何年もの間、連邦政府は民間企業に強固なサイバーセキュリティ基準を維持することや、サイバー攻撃の被害を報告するよう指導してきました。しかし、民間企業はそれに抵抗してきました。民間企業が抵抗したのは、そうした指導に従うことは膨大なコストがかりますし、被害を報告すれば消費者の信頼を失い企業イメージが悪化するからです。また、米国ではサイバーセキュリティ分野の人材が不足しており、民間企業がその人材を確保するのは困難な状況です。実際、コロニアル社は、ランサムウェア攻撃を受ける前、少なくとも1か月間以上サイバーセキュリティ人材を募集していたことが明らかになっています。(コロニアル社の幹部が匿名を条件にアトランタ・ジャーナルコンスティテューション誌の取材に答えて語ったところでは、たとえサイバーセキュリティ人材を採用できていたとしてもランサムウエア攻撃を防げなかっただろうということでした。)
実際、コロニアルパイプライン社は2018年に外部監査を受けた際に、情報管理と社内ネットワークシステムに関して「最低」の評価を受けていました。社内ネットワークはセキュリティ対策が不十分でつぎはぎだらけだと評価されていました。(その監査に携わった1人がAP通信に、「中学2年生でもハッキングできるだろう。」と語っていました。コロニアル社はそれに対して、「当社は常に情報管理状況を評価し見直しを行ってきました。IT部門でもそれ以外でも改善を続けてきました。」と主張していました。)残念ながら、セキュリティ対策が杜撰なのは同社だけではありません。2019年、ヨーロッパの1人のサイバーセキュリティ研究者が誰でも利用できるオープンソースのツールを使用して、米国にサイバー攻撃を受けやすい脆弱な産業制御システム(電力・ガス・水道などの公共インフラや、工場・プラントなどの生産設備を制御するシステム)が2万6千個あることを特定し、場所も特定しました。それらには、ダムや発電所や化学工場などが含まれていました。コロニアル社は、パイプラインの運用に使用している産業制御システムは同社の業務用情報システムとは完全に切り離されていたと主張していましたけれども、同社のITシステムがハッキングされた直後にパイプラインの操業が停止された事実から類推すると、実際には完全には切り離されていなかったようです。(実際に切り離されていなかったことは、タイムズ誌の2名の記者(ニコール・ペアロートとデビッド・サンガー)の取材・調査で明らかになっています。)
コロニアル・パイプラインがランサムウエア攻撃を受けた事件は、バイデン政権が対処しなければならない2度目の大きなサイバー攻撃でした。(4月下旬に小さなサイバー攻撃も発生していて、ワシントンDCの首都警察がランサムウェア攻撃を受け、ハッカー集団によって22人の警官の個人情報が公開されました。)バイデン政権が初めて対処した大きなサイバー攻撃は、ソーラーウィンズ社(ネットワーク・マネージメント・ソフトウェアの開発会社大手)のソフトウェアの脆弱性を利用したものでした。実際に被害にあったのはトランプ政権時代のことで、その事実が判明したのはバイデンが大統領に就任する数週間前の2020年12月でした。当時、バイデンはトランプをサイバーセキュリティを重視しないという失態を犯したとして非難しました。また、バイデンはそのサイバー攻撃の背後にはロシアの諜報機関のSVR(ロシア対外情報庁)の存在があると言及し、大統領に就任したらロシアに厳しく対処すると主張しました。それから数ヶ月経ちましたが、4月15日、バイデンは、ソーラーウィンズを利用したサイバー攻撃はロシア政府による有害な諜報活動だと断定し、多くのロシア企業や個人に制裁を課す大統領令に署名しました。
ソーラーウィンズを利用したサイバー攻撃とは異なり、コロニアル・パイプライン社へのサイバー攻撃はロシアが背後にいるようには見えません。バイデンもコロニアルの件ではロシアは関与していないと言っていますし、ハッカー集団自体も同様の主張をしていて、目的はお金であり、地政学的な影響を与えることに興味は無いと主張していました。しかし、結果的にはハッカー集団は、非常に効率的に地政学的な影響を及ぼしています。というのは、今回のハッカー攻撃によって、米国と敵対する者、犯罪組織、ならずもの国家などに、米国の生活基盤の脆弱性を知らしめることとなったからです。他国が米国から報復されるのを恐れて米国の重要なインフラへのハッカー攻撃を思いとどまるだろうと楽観的に考える人もいるようですが、そんなことはありません。そもそも、ならずもの国家の支援を受けたハッカー集団はやりたい放題攻撃して、慎み深いところなどありません。彼らは好き放題にハッカー攻撃を行う際に、ならずもの国家が支援していることを悟られないように行動しています。
バイデンは別の大統領令を出しました。5月12日のことでした。その準備には数か月かかりましたが、それが発表されたのは絶妙のタイミングで、コロニアル社のパイプラインが再稼働したというニュースが流れた直後のことでした。(しかし、完全に復旧して十分な燃料供給が為されるようになるにはさらに数日を要しました。)「国内の重要なインフラの多くは民間企業によって所有、運営されており、サイバーセキュリティ関連に投資するか否かは各企業の判断に委ねられている。」と大統領令に関する声明には付記されていました。バイデンもトランプ前大統領と同様に、重要なインフラが民間企業の所有であることで、サイバー攻撃に対する対応を強力に推し進める手立てがありませんでした。それでもなお、この大統領令は連邦政府機関とその契約先に対しては強制力があり、それらに新しい厳格なサイバーセキュリティ基準を遵守することを要求しています。ですので、この大統領令はコロニアル社が攻撃された問題に対して、妥当なもので実効性のあるものでした。政府機関が使用するクラウドサービスやソフトウェアパッケージの多くは、民間セクターでも使用されています。大統領令ですべての連邦政府機関のITシステムが大統領令のサイバーセキュリティ基準を満たすように要求することによって、民間企業でも使っているクラウドサービスやソフトウェアのセキュリティレベルも向上していくでしょうし、民間企業でサイバーセキュリティ基準を遵守するところも増えるでしょう。自動車排出ガス規制でも同じような現象が起こったのですが、カリフォルニア州が基準を引き上げると、他の12州が同じ基準にすることを決めました。また、自動車メーカー5社も全ての新車がその基準を満たすようにすることに同意しました。サイバーセキュリティ基準でも排出ガス規制でも似たようなことですが、一部で高い基準が設定されると全体にそれが波及することがあるのです。バイデンは言いました、「連邦政府は率先垂範してサイバーセキュリティを高めていく。」と。
バイデンは大統領命令を出すだけでなく、サイバー攻撃を調査するサイバー安全評価委員会を立ち上げました。国家運輸安全委員会が航空機事故を調査する際と同様の役割が期待されていて、サイバー安全評価委員会はサイバー攻撃を調査するだけでなく、サイバーセキュリティを改善させるための具体的な推奨策を提案することも任務になります。今回の大統領令では、産業制御システムのソフトウェアを提供する企業やITサービスプロバイダーに、米国のネットワーク環境に影響を与える可能性のあるサイバーセキュリティの脆弱性が認められる場合には政府に報告することを要求しています。
サイバー攻撃でパイプラインの次に被害を受けるのは、病院かもしれませんし、浄水場かもしれません。また、もう二度とサイバー攻撃を受けることは無いのかもしれません。そうしたことを予測をするのは難しいのですが、大統領令を出しただけで、サイバー攻撃の脅威が無くなるわけではありません。上院情報委員会の委員長でもあるバージニア州選出の上院議員マーク・ワーナーはバイデンが大統領令を出した際に「議会はさらに対策を進めなければならない。」と言いました。重要なインフラの多くを民間企業が所有していますが、厳格なサイバーセキュリティ基準を遵守することを法制化して義務付けることが必要でしょう。それが為されない限り、米国はサイバー攻撃に対して脆弱なままです。
以上
- 1
- 2