物流機能が停止「社会インフラ」を狙うサイバー攻撃の衝撃、名古屋港の「ランサムウェア被害」から学ぶこと

　2021年5月7日、アメリカ最大手とされる石油パイプライン運営会社であるコロニアルパイプラインがランサムウェア被害に遭い、約5日間の操業停止に追い込まれる被害が発生したが、もはや日本も「ひとごと」ではなくなっている。

■日本初、サイバー攻撃で社会インフラが大規模被害

　この2年後、ついに日本でも社会インフラに対するサイバー攻撃で大規模被害が発生した。2023年7月5日に発生した名古屋港統一ターミナルシステム(NUTS)のランサムウェア被害だ。

　名古屋港統一ターミナルシステムのサイバー攻撃では、コンテナターミナルで使用されている管理システムがランサムウェアに感染し、システムを構築する仮想サーバーと、その物理基盤すべてが暗号化されシステムが使用できなくなった。

　このターミナルシステムの障害で、総取扱貨物量日本一である名古屋港全体でのコンテナ搬出入作業が、およそ3日間停止する事態となった。コンテナ物流という物理的な社会インフラがサイバー攻撃により大きな影響を受けたという意味で、名古屋港の被害は日本における初の事例といえる。

　ランサムウェア攻撃を行うサイバー犯罪者の目的は、金銭的な利益だ。ランサムウェアによって暗号化したデータやシステムを復旧するための情報を渡すという名目で被害者に金銭を要求する。

　被害者が身代金を払ってでも復旧したいと思わせるためには、なるべく重要な止めてはいけないシステムへ復旧不能なダメージを与えることが、攻撃者の戦略として重要になる。つまり、操業を止められない社会インフラを担う企業は攻撃対象としてうってつけというわけだ。

　実際、アメリカのコロニアルパイプラインは「いつまで操業停止が続くか不透明だったため」に日本円で5億円近くの身代金を支払ったことを認めている。

　ただし、金銭目的のサイバー犯罪者は攻撃に必要以上のコストをかけるようなことはしない。弱点が少なく侵入が成功しない相手に固執せず、容易に侵入できる弱点を持った相手を探すのだ。

　その意味で、サイバー犯罪者は、社会インフラを担う企業自体を「狙っている」わけではない。弱点を利用し侵入ができた被害者の中から、より身代金を支払う可能性の高い相手として社会インフラを担う企業が選ばれただけ、というのが実態に近いと考えられる。

■サイバー犯罪者が狙うのは「弱点を持つ組織」

　サイバー犯罪者は、弱点を持つ組織を探して侵入を成功させる。コロニアルパイプラインの事例では、アメリカ国土安全保障委員会の公聴会において同社のCEOが明確にVPN(仮想専用線)経由での侵入だったことを認めている。

　名古屋港の事例でも、まだ断定に至っていないとはしながらも、脆弱なVPN経由での侵入であった可能性が高いことが国土交通省の中間まとめなどで指摘されている。

　VPNは組織のネットワークに外部から安全にアクセスするための仕組みだ。しかし、海外では2019年前後に「Fortinet」「Pulse Secure(現Ivanti)」「Citrix」「Palo Alto」「F5」などの主要なVPN製品で攻撃に悪用可能な脆弱性が確認された。

　さらに、その脆弱性を悪用する攻撃手法が確立し、VPN経由の侵入が急激に常套手段化した。VPNの脆弱性には、マルウェアの実行に悪用可能な脆弱性と、認証情報の窃取に悪用可能な脆弱性の2種がある。

　このため、VPN経由の侵入では脆弱性の悪用による直接侵入と、認証突破による不正アクセスが主な攻撃手法となっている。コロニアルパイプラインの事例では、何らかの方法で流出した社員の認証情報が使用され不正アクセスによる侵入を受けた。

　名古屋港の事例では、VPNに任意コード実行(ACE)が可能となる脆弱性が存在していたことが指摘されている。

■攻撃対象の領域が拡大している

　なぜ被害組織のネットワークに狙われやすい弱点が存在していたのか。国内におけるランサムウェア被害事例では、年々アタックサーフェス(攻撃対象領域)が拡大していることが明らかに見てとれる。

　2021年のつるぎ町立半田病院の事例では、侵入の原因としてVPNの脆弱性が指摘された。2022年3月の小島プレス、10月の大阪急性期・総合医療センターの事例では、信頼をおいているほかの組織経由での侵入、つまり「サプライチェーンの弱点の悪用」が被害原因となっている。

　この2つの事例における直接の侵入経路として、小島プレスは子会社、大阪急性期・総合医療センターは業務委託先経由の侵入であったこと、その侵入原因は脆弱なVPNであったことも公表されている。

　2023年の名古屋港事例は、データセンターで運用されているシステムがVPN経由で侵害されたものと定義づけることができる。データセンター上のシステムがランサムウェア被害にあった事例は、2023年6月に社労士向けクラウドサービス「社労夢」でも公表されている(侵入原因は未公表)。

　このように「VPN経由の侵入」「サプライチェーンの弱点」「データセンター」へとアタックサーフェスが拡大していることがわかる。

■サイバー攻撃で社会が停止、個々の組織が認識すべきこと

　高度化する昨今のサイバー脅威に備えるために、個々の組織が認識すべきことは、何か。

　昨今の被害事例から、ほかの組織経由での侵入・被害発生や、自分たちの組織がほかの組織にとっての侵入口となりえることが示されている。つまり自組織だけの対策ではなく、サプライチェーン全体、ひいては日本全体の中で自組織の存在を認識し、対策を施していくべきだ。

　具体的には「ゼロトラスト」、何も信頼しないことを前提としたセキュリティ対策の実装、守るべき資産とそのリスクを把握するための「アタックサーフェスリスクマネジメント(ASRM)」と、ネットワーク内の挙動を多層で可視化し対応するための「XDR(Extended Detection and Response)」の取り組みが重要になるだろう。