米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月19日(米国時間)、「Update to CISA-FBI Joint Cybersecurity Advisory on DarkSide Ransomware|CISA」において、Cybersecurity and Infrastructure Security Agency (CISA)と連邦捜査局(FBI)がランサムウェア「DarkSide」について公開していた共同サイバーセキュリティアドバイザリ「AA21-131A」を更新したと伝えた。
この共同アドバイザリは、米国の石油パイプライン事業者「コロニアル・パイプライン」がサイバー攻撃の影響で操業停止に追い込まれた事件を受けて、5月11日に発令されたもので、DarkSideによる被害を軽減するためのベストプラクティスがまとめられている。
AA21-131Aの全文は次のページで見ることができる。
今回の更新では、侵害の痕跡情報(IoC:Indicator of Compromise)を記述したダウンロード可能なSTIX(Structured Threat Information eXpression)ファイルが提供された。STIXは米国政府機関で使用されているサイバー攻撃活動を記述するための共通仕様であり、サイバー攻撃の具体的な内容や攻撃者、攻撃手口、検知指標や対処処置などが共通のフォーマットでまとめられている。
公開されたIoCには今回のサイバー攻撃で実際に利用された可能性のあるアプリケーションのリストが掲載されている。それらのアプリケーションの一部には通常の業務でも使用されている正当なものも含まれているが、CISAとFBIでは、攻撃のリスクを軽減するために日常業務に必要でないと思われるアプリケーションを削除することを推奨している。
DarkSideの攻撃を受けて操業を停止していたコロニアル・パイプラインは、数日前に通常オペレーションを再開したことが発表されている。しかし、一部ではサイバー攻撃者に対して約4.8億円の身代金を支払ったとの報道もあり、操業停止による損害も含めて、同社に甚大な被害を与えている。
CISAでは、ランサムウェアによる被害を防止するために、ITシステムのユーザや管理者に対して「AA21-131A」を確認することを勧めている。