米大手パイプライン社、レガシーVPNのパスワード認証破られ侵入許す
1週間の操業停止に追い込まれ、東海岸で混乱が広がった
～今求められる、企業のサイバーセキュリティを考える～

　東海岸の燃料の45％を占める5500マイルを運営しているコロニアル・パイプライン社はアメリカ最大手の企業です。1日に1億ガロン以上のガソリン、ディーゼル、ジェット燃料、その他精密機器を輸送しており、約5000万人以上におよぶ国民の日常的な生活の基盤になっています。

　このアメリカ最大手のパイプライン社がランサムウェア攻撃を受け、2021年5月7日から1週間にわたって燃料の供給が停止されました。このランサムウェア攻撃は、コロニアル・パイプライン社の情報ネットワークにあるレガシーVPNへのパスワードのみによる不正アクセスから始まっています。そして、問題を早く解決する方法として身代金440万ドル（約4億8000万円）の支払いを行いました。

　6月7日の米司法省の発表では、FBIが支払われた身代金総額の85％に相当する金額を押収していますが、事件当時ガソリンスタンドではパニック買いが起こったことで、販売が一時停止し、復旧までに数週間かかり、生活の混乱を招いたことで国民の不満から政治をも動かす大事件となりました。今年就任したバイデン大統領は、SolarWindsやExchangeサーバーへの大規模サイバー攻撃など就任直後から相次ぐサイバー攻撃に遭遇、今回のコロニアル・パイプライン社の事件もあり、5月12日にサイバーセキュリティの向上を目的とした大統領令を発令しました。その中で、政府機関システム、また彼らにソフトウェアやサービスを提供するベンダーに調達条件としてゼロトラストアーキテクチャの適用、MFA（多要素認証）やデータ暗号化を必須にするといった条件を発令しています。今後世界にインパクトを与えるこの発令は、アメリカ政府機関のITシステムに近代化をもたらすと考えています。

　そこで今回は、アメリカ企業で起きたこのサイバー攻撃の原因から、日本企業も教訓にできるサイバーセキュリティ強化の対策についてご紹介します。

コロニアル・パイプライン社がランサムウェア攻撃を受けた原因

　バイデン政権を揺るがせたコロニアル・パイプライン社へのランサムウェア攻撃は、DarkSideと呼ばれる犯罪者グループによるものでした。事件の調査を請け負ったサイバーセキュリティ企業ファイア・アイ社子会社MandiantのCTOカルマカル氏の国土安全保障委員会のイベントでの証言をもとに攻撃を受けた原因を紐解きます。

なぜコロニアル・パイプライン社はランサムウェア攻撃を受けてしまったのか？

　カルマカル氏は、「従業員の認証情報が使用されていることは分かっていて、ユーザー名とパスワードが使用されていました。この認証情報は以前に侵害された別のウェブサイトで従業員が使用した可能性があり、それを攻撃者が利用した可能性があります」と述べています。攻撃者がどのようにしてユーザー名を入手したのか正確には分からないとしつつも、今回の攻撃の最も初期の証拠はコロニアル・パイプライン社のVPNへのログインだったとのことです。

　このパスワードは他のウェブサイトから盗まれインターネット上で簡単に入手できるものの一つだったとし、パスワード自体の長さ、特殊文字、大文字小文字の区別など、比較的複雑になっており簡単に推測できるものではありませんでしたが、ダークウェブで利用可能になっていたことも分かっています。

　また、同社VPNにはMFAが適用されていましたが、今回侵入されたレガシーVPNプロファイルは有効と思われていなかったためにMFAが適用されておらず、ユーザー名とパスワード認証によりログインされてしまったとのことです。つまり、未使用のユーザーアカウントが無効化されておらず、そのアカウントはまだVPNにアクセスできる状態だったということです。

　同社は攻撃を受けた時には十分な量のバックアップをとっており、最終的にはそのデータを使用して復旧をおこないましたが、身代金の支払いの決断時には、バックアップが破損していたのか、危険に晒されていたのか、あるいは使用しても安全だったのかが不確かであったとしており、確認に時間を費やすとアメリカ国内ではガソリン供給が滞ることによる被害がどんどん大きくなるため、問題を早く解決する方法として身代金440万ドル（約4億8000万円）を支払うことを決めたとのことです。

日本の企業も教訓とすべきサイバーセキュリティ対策
～CEOもサイバー攻撃対策の優先度をあげるべき～

　ランサムウェアの脅威が何年も前から高まっていることもあり、今回の事件はパイプライン業界だけでなく、他民間企業、特に大手企業に起こりうることであり、意識を変える必要があります。当分の間、新型コロナウイルスの影響によって、リモートワークは継続していくことも考えると、今後ランサムウェア攻撃から企業を守るためには、レガシーITからゼロトラストのITを展開することを始める必要があると考えています。

　今回の事件で攻撃を受けた原因として、パスワードのみの認証が適用され、VPNを利用していた点が挙げられます。

　現在、一時的に利用するシステムであったVPNを新型コロナウイルスの影響によってリモートワークをする従業員全員に利用させるという使い方をしている日本企業も多いかもしれませんが、VPNはもう安全だとは言い切れない時代となっています。

　そのため、今回の事件から学べる対応策として、パスワードのみの認証をやめ「ゼロトラストMFA（多要素認証）の導入」をすること、またITの近代化に向け、VPNの利用をやめ「ゼロトラストアーキテクチャであるSDPの導入」をすることが必要です。

　ゼロトラストMFAは、現在利用が普及しているワンタイムパスワードなどのMFAではなく、突破が難しいとされている、指紋や顔などの生体情報を利用してユーザー確認ができるMFAです。実際にパスワードは80％以上のハッキングによる侵害の原因、またランサムウェア攻撃につながるとされるフィッシングに用いられるため、「パスワードのみ」の認証をいち早く取りやめることは言うまでもありませんが、単にMFAだから良いというわけでもありません。

　VPNは、いかに不正アクセスやマルウェアの侵入を防ぐかといった点を重視しているため、「社内からのアクセス＝安全」で、「社外からのアクセス＝危険」といった考え方です。SDPとリモートアクセスVPNにおいての大きな違いは認証のタイミングにあり、VPNではトンネリングの際に一度だけ、ユーザーIDとパスワードや多要素認証を用いた認証が行われるのに対し、SDPではトンネリング接続前後と接続後の通信中の3つの段階で検証や認証が行われます。そのため、SDPは正しいアクセスのみを正しいデータへ導くことが可能になります。

　今回の事件も含め、アメリカでは昨年から相次ぐ大規模なサイバー攻撃により、今年行われた世界CEO調査では、脅威に対するさまざまな懸念について、北米のCEOは「サイバー攻撃の脅威」を1位にしています。また、5月のバイデン大統領令にて国全体でサイバーセキュリティの明確な基準を設けたことにより確実にアメリカ企業のサイバーセキュリティに対する意識が変わろうとしています。

　一方でアジア太平洋のCEOでは、「パンデミックやそのほかの健康危機」を1位に挙げており、一概には言えませんが、現在はまだ日本企業のサイバーセキュリティ強化に対する意識が高いとは言えない状況です。しかし、日本でもごく最近、日本企業のグループ会社や子会社がランサムウェアの被害に遭うなどサイバー攻撃は静まる気配がなく、日本企業もまた今回の事件を教訓に、サイバー攻撃対策の優先度をあげるべき時がきています。

ゼロトラストSSOとゼロトラストMFAの導入で、日本に「認証維新」を起こす

　ISRは、2014年に世界でパスワードを使わない認証をビジョンとしているFIDOアライアンスに参加し、2015年の秋にはFIDO認証仕様のMFAをCloudGate UNOのオプションに追加、2019年にはFIDO2によるパスワードレス認証の提供を開始し、「認証」の強化に取り組んでおります。そして、2021年7月5日にCloudGate UNOはゼロトラストモデルとしてリリースいたします。サービスプロバイダー（SP）へのアクセスコントロールにおいてゼロトラストでなければいけないという前提にて、SPごとに厳密にアクセス管理をする機能としてゼロトラストSSOとゼロトラストMFAの提供に力を入れて参ります。

　現在までSSOの利点であった、「一度の認証で複数のサービスが利用可能」は、「信用しない」というゼロトラストの考えでは最重点課題となります。そのためゼロトラストSSOのCloudGate UNOでは、各サービスにアクセスするごとに認証が要求される仕組みへ、そして認証強度も各サービスごとに設定できるようになります。

　ゼロトラストMFAでは、すべてのアクセスを疑い、すべての安全性を確認するということを念頭に、本人検証で突破されにくい強固な認証を実現しながらも、使いやすさを両立させたCloudGate Authenticator（CGA）やFIDO2によるMFAの利用を推奨しております。例えばスマートフォンアプリのCGAは、所持情報と顔や指紋などの生体情報にて認証を行い、本人検証の精度を高めることが可能です。

　たった一つのパスワードによって引き起こされた今回のコロニアル・パイプラン社へのランサムウェア攻撃の教訓として、ISRではこのゼロトラストモデルの普及、そして従来のパスワードを中心とした認証のやり方から、安全なMFAやパスワードレス認証の利用へと認証の概念を変革する「認証維新」を起こし、自社での安全な運用や対策も合わせてお客様の情報資産を守るサービスの提供に努めていきます。