Evaコラム:Colonial Pipelineのランサムウェアに関して

【ニューヨーク=中山修志】米司法省は7日、米東海岸の燃料パイプラインがランサムウエア(身代金ウイルス)による攻撃を受けて停止した問題で、犯行グループに支払われた身代金の大半を奪還したと発表した。(記事より)

 この記事が出て、エヴァチームでその背景と経緯を調べてみました。

 FBIの宣誓供述書は「Private Key」を押収するのではなく、「Bitcoin」を押収するものでした。宣誓供述書の中に「このビットコインアドレスにあるビットコインを押収するのは妥当。Private Keyはもってる。」と書いてありました。どうやってPrivate Keyを入手したかにかについては、「今後の捜査に支障あり」ということで明らかになっていないようです。

ということで、いくつかのニュースや公聴会の内容などを見てみて、私なりのまとめを作ってみました。

参考文献

  1. (1) FBI特別捜査官の宣誓供述書:Affidavit in Support of an Application for a Seizure Warrant
    1. https://www.justice.gov/opa/press-release/file/1402056/download
  2. (2) Colonial Pipeline CEOの上院公聴会:Hearing before the United States Senate Committee on Homeland Security and Governmental Affairs: 2021/06/08
    1. https://www.hsgac.senate.gov/imo/media/doc/Testimony-Blount-2021-06-08.pdf
  3. (3) TechTarget Network記事:FBI seized Colonial Pipeline ransom using private key
    1. https://searchsecurity.techtarget.com/news/252502115/FBI-seized-Colonial-Pipeline-ransom-using-private-key
  4. (4) CNBC記事:The FBI likely exploited sloppy password storage to seize Colonial Pipeline bitcoin ransom
    1. https://www.cnbc.com/2021/06/08/fbi-likely-exploited-sloppy-password-storage-to-seize-colonial-ransom.html
  5. (5) MarketWatch記事:How did federal agents recover bitcoin and access a crypto wallet tied to the Colonial Pipeline cyberattack?: 2021/06/08
    1. https://www.marketwatch.com/story/how-did-federal-agents-recover-bitcoin-and-access-a-crypto-wallet-tied-to-the-colonial-pipeline-cyberattack-11623182259
  6. (6) New York Times記事:U.S. Seizes Share of Ransom From Hackers in Colonial Pipeline Attack
    1. https://www.nytimes.com/2021/06/07/us/politics/pipeline-attack.html
  7. (7) New York Times記事:Pipeline Investigation Upends Idea that Bitcoin is Untraceable
    1. https://www.nytimes.com/2021/06/09/technology/bitcoin-untraceable-pipeline-ransomware.html
  8. (8) NBC Newsサイト:Feds recover millions from pipeline ransom hackers, hint at U.S. internet tactic
    1. https://www.nbcnews.com/tech/security/u-s-recovers-millions-pipeline-ransom-because-hackers-mistake-n1269889
  9. (9) Bitcoin Explorerサイト:
    1. https://www.blockchain.com/explorer
  10. (10) Institute for Security + Technologyサイト: Combating Ransomware by Ransomware Task Force:
    1. https://securityandtechnology.org/wp-content/uploads/2021/04/IST-Ransomware-Task-Force-Report.pdf
  11. (11) FBIサイト:FBI Deputy Director Paul M. Abbate’s Remarks at Press Conference Regarding the Ransomware Attack on Colonial Pipeline:2021/06/07
    1. https://www.fbi.gov/news/pressrel/press-releases/fbi-deputy-director-paul-m-abbates-remarks-at-press-conference-regarding-the-ransomware-attack-on-colonial-pipeline
  12. (12) Reutersサイト:One password allowed hackers to disrupt Colonial Pipeline, CEO tells senators
    1. https://www.reuters.com/business/colonial-pipeline-ceo-tells-senate-cyber-defenses-were-compromised-ahead-hack-2021-06-08/
質問:FBIの調査の状況は?
回答:宣誓供述書(参考文献1)と公聴会(参考文献2)の内容をもとに以下、作成しました。
1.5月7日5:00EDT:社員がランサムウェアによる攻撃を認識
 直後に、社員はコントロールセンターの運用責任者に連絡。運用責任者はパイプライン全域のオペラーション停止を指示。5:55にシャットダウンを開始。6:10に5500マイル全てのパイプラインが停止したことを確認。
2.5月7日:Incident Responseを開始。
3.5月8日:Colonialは「75BTC(ビットコイン、約4.3million USドル)をXXXというBitcoin Addressに即日支払うように指示されていた」旨をFBIに報告。
4.FBIがビットコインの電子帳簿をBitcoin Explorerと呼ばれるソフトで調べたところ、5月8日にXXXに75BTCが支払われていることを確認。
5.その後、ビットコインは数カ所に転送されたが、5月27日の時点で63.7BTCがYYYというアドレスに送られた後、留まっている。
 FBIのカリフォルニア北部支局はこのYYYに対するPrivate Keyを所持している。

 この時点で、この宣誓供述書の対象である差し押さえ令状が執行され、63.7BTCが回収されたものと思われます。(筆者)

つまり、

  1. FBIはランサムウェアの攻撃にあった直後から関わっているが、会社が支払いを決めたことを、FBIが知っていたかどうかは、この宣誓供述書だけからはわからない。公聴会でのCEO発言は、かなり早い時期から法執行機関などと連絡をとっていたことが受け取れるが、「ランサムを払う判断は会社の判断」、と理解できる。
  2. FBIはBitcoinの動きを逐次知ることができていた。(Blockchain Explorerというソフトを使うと調べられる。)
  3. FBIはBitcoin AddressのPrivate Keyを持っていた。(どうやって手に入れたかは、宣誓供述書、公聴会からは不明)
  4. Bitcoinはその後このアドレスにとどまっていた。

 最後に、FBIが裁判所にこのBitcoinの差し押さえ令状を要請し、差し押さえたものと推定されます。

質問:悪者はどの罪を犯したのか?
回答:FBI特別捜査官の宣誓供述書によれば、Title 18, United States Code, Section 1030(a)(2)(C), Unauthorized Access to a Protected Computer to Obtain InformationとTitle 18, United States Code, Section 1030(a)(5)(C9, Extortion Involving Computers, Title 18, United States Code, Section 1957 (Money Laundering)など。供述書によれば、これらは連邦法違反の疑い。(参考文献1)
質問:コロニアルはいつFBIに知らせたのか?
回答:宣誓供述書上ははっきりしないが、6月8日の上院公聴会でコロニアルのCEOは「会社は5月7日に攻撃を受けてから数時間のうちにFBIに通報し、当初より法執行機関と連携をとっていた」(参考文献2)
質問:なぜパイプライン全体を停止したのか?
回答:マルウェアが会社のIT System全体に蔓延しないように、即座に停止した。これは現場の判断でしたが、会社としての日頃の教育の一環である、Colonial CEOも当時の担当者の判断を完全に支持している。(参考文献2)
質問:ランサムを払ったのは正しい判断か?
回答:全ての手段を講じて、パイプラインを早急に正常な状態に戻すために、ランサムを支払うことはCEOとしての苦渋の決断。(参考文献2)
質問:ランサムを払ったことを、すぐに公表しなかったのはなぜか?
回答:運用の安全を確保し、犯罪者に対するプレスからの情報開示を最低限にすることが重要と判断し、情報を公開しなかった。(参考文献2)
質問:ランサムを払うことをFBIには事前に言ったのか?
回答:ランサムの支払いに関しては、法規上のガイダンスに従い、かつ法執行機関に進捗を報告してきた。FBI, the Cybersecurity & Infrastructure Security Agencyとの電話会議をセットし、法執行機関とも緊密に連絡。ホワイトハウス、National Security Council, Department of Energy, Department of Homeland Security, the Pipeline and Hazardous Materials Safety Administration, Federal Energy Regulatory Commission, Environmental Protection Agencyとも緊密に連携を取った。(参考文献2)
支払う前に、FBIに報告したかどうかに関しては、現時点では明白でない。(参考文献12)
質問:ランサムウェアはどのようにして侵入したのか?
回答:まだ調査中だが、今は使われていない古いVPN Profileを使用したと思われる。この古いVPNは多要素認証を使用していないため、パスワードを何らかの手法で入手して入り込めたのではないかと推定される。(参考文献2、3)
質問:連邦ができることは?
回答:Colonial CEOの今回の経験から、どこか1箇所のコンタクトを作って欲しい。また、このコンタクトに十分なリソースを配置して産業界をサポートしてほしい(参考文献2)
質問:FBIというが、誰が?
回答:FBIアトランタフィールドオフィス、サンフランシスコフィールドオフィス、サイバー局など。また、新しくできた、Ransomeware Task Forceのお手柄でもある。(参考文献3、11)
質問:Ransomeware Task Forceとはなんですか?
回答:Institute for Security and Technologyが増加するランサムウェア被害に対して、現行のやり方を評価し、具体的で実行可能なロードマップを作成するために、2020/12/21に立ち上げたタスクフォース。業界の他に、U.S. Cybersecurity and Infrastructure Security Agency, FBI, U.S. Secret Service, U.K. National Cyber Security Centre, U.K. National Crime Agencyなどが参加している。(参考文献10)
質問:ビットコインは匿名性が高いので有名なのに、なぜ見つかったの?
回答:匿名性は高いが、透明性も高い。お金の流れはきっちり追える。ただ、その口座が誰のものか、はわからない。お金を洗濯するために、もらったビットコインを次から次へと拡散させ(ミキサーにかけるように)行き先を追跡しにくくするのだが、今回は数カ所に拡散しただけだったので、容易に追いかけることができたのであろう。(参考文献3)
質問:ビットコインは暗号通貨とも呼ばれている安全性が高い通貨かと思ったのに、Private Keyが割り出せてしまうのか?
回答:多くの専門家は、それ(Private Keyを割り出すこと)はあり得ないと言っている。可能性としてあげられるのは、犯罪者のKey管理がいい加減だった、犯罪者グループに内通者がいたなどだろうと思われる。(参考文献5)
質問:ランサムが要求されたあとColonialは自社だけで対応していたのか?
回答:サイバー調査会社Mandiantを雇い、攻撃を特定し、隔離し、対応することができた。その後、DragosのRobert Lee氏, Black Hills Information SecurityのJohn Strand氏とも契約をした。(参考文献2)

 この記事は、現時点での情報をもとに作成されています。今後新しい情報が得られた時点で、改定を行っていきます。

さいとうたかし

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA