ランサムウェア攻撃により、ルーマニアの国家水道当局の1,000以上のITシステムが侵害され、重要な公共サービスに対するサイバーリスクの高まりが浮き彫りになった。
この侵害は、ほぼすべての地域の流域水管理局にわたるITシステムに影響を及ぼした。規模は大きいものの、当局者は物理的な水運用は影響を受けていないと強調した。
「運用技術(OT)は影響を受けていない」と、ルーマニア国家サイバーセキュリティ局は述べた。
ルーマニアの水道当局全域で影響を受けたシステム
ルーマニアの国家行政機関アペレ・ロマーネは、攻撃者が同機関および11の地域流域水管理局のうち10にわたって約1,000のシステムを侵害し、オラデア、クルジュ、ヤシ、シレト、ブザウなどの拠点に影響が及んだと報告した。
影響を受けた資産には、GISアプリケーションサーバー、データベース、Windowsワークステーションおよびサーバー、メールおよびWebサーバー、DNSインフラが含まれる。当局は、水工学的制御システムは影響を受けていないことを確認した。
Living-Off-the-Land型ランサムウェアの手口
調査担当者は、攻撃者が独自のランサムウェアバイナリを展開するのではなく、BitLockerを悪用して侵害されたシステム上のファイルを暗号化したと判断した。
管理者が一般的に使用するOSのネイティブ機能を悪用することで、この活動は正規の管理作業に非常によく似ており、セキュリティツールや担当者が攻撃を日常的なシステム管理と直ちに見分けることを難しくした。
身代金要求メモでは、影響を受けた組織に対し7日以内に連絡を取るよう指示していた。
特定のCVEは公表されていないものの、この事案は、攻撃者が組み込みのシステムユーティリティに依存してシグネチャベースの検知を回避し、活動の痕跡を最小化するliving off the landとして知られる、より広範で近年ますます一般的な手口を反映している。
この手法の技術的な複雑さは比較的中程度だが、影響を受けたシステム数の多さと、それらが重要な水インフラにおける計画、監視、調整機能を支えている役割を踏まえると、その影響は大きい。
低ノイズな実行と高い運用上の影響というこの組み合わせは、露骨に悪意あるコードではなく信頼されたツールを悪用するランサムウェア手法がもたらすリスクの増大を浮き彫りにしている。この攻撃に関する調査は継続中である。
ランサムウェアに対するレジリエンスの構築
ランサムウェア事案では、露骨に悪意あるソフトウェアではなく、正当なシステムツールや誤設定されたアクセス制御がますます悪用されている。
こうした状況でリスクを低減するには、厳格なID管理、継続的な監視、そしてIT環境と運用環境の強固な分離が必要となる。
- BitLockerのような正当なシステムツールの悪用を防ぐため、最小権限アクセスを徹底し、管理者権限を厳格に制御する。
- 大量暗号化、権限昇格、無許可のポリシー変更など、ネイティブユーティリティに関わる異常な挙動を監視する。
- IT環境とOT環境の強力なセグメンテーションを維持し、運用システムへの横展開を防ぐために制御を定期的に監査する。
- オフラインバックアップや、定期的にテストされた復元手順を含む、堅牢なバックアップおよび復旧の実践を実装する。
- 安全な構成ベースライン、資産の可視化、不要なサービスやリモートアクセスの制限により、攻撃対象領域を縮小する。
- 定期的なランサムウェア対応演習を通じて、インシデント対応計画をテストし検証する。
これらの対策を組み合わせることで、リスクを低減し、組織の復旧能力と運用継続能力を強化することにより、サイバーレジリエンスが向上する。
ランサムウェアが重要インフラを標的に
この事案は、サービス停止の可能性を強要の手段として利用しようとする攻撃者が、公共事業体や政府機関を標的にするという、世界的に広がるランサムウェア活動の傾向と一致している。
同時に、IT環境とOT環境の強固なアーキテクチャ上の分離の重要性も示しており、これによりインシデントの封じ込めが可能となり、不可欠な公共サービスの継続性と安全性を守る助けとなる。
こうした傾向により、多くの組織が暗黙の信頼を制限し、横展開の抑制に役立つゼロトラスト・ソリューションの採用を進めている。
翻訳元: https://www.esecurityplanet.com/threats/romanias-water-authority-targeted-in-ransomware-attack/
