分析:西側諸国の複数のエネルギー部門は、ハッカーによる攻撃が激化している。セキュリティ専門家は、ハッカーが標的型フィッシングなどの戦術を用いて、ハッキングプロセスの中で最も困難な足場を確保すれば、産業システムは潜在的に無防備な攻撃にさらされると警告している。
英国政府のサイバー防衛機関は最近、ハッカーが英国のエネルギー部門を標的にしていると警告した。約1週間前、NCSC(国立サイバーセキュリティセンター)から「複数の英国のIPアドレスから、エネルギー部門と製造部門を標的とすることで知られる、高度な国家支援を受けた敵対的な脅威アクターに関連するインフラへの接続」を発見したという警告のメモが流出したと、Motherboardが報じた。
この警告は、国家支援を受けたハッカーが既に英国のエネルギー部門ネットワークに足場を築いている可能性を示唆している。今回のアクセス侵害が何らかの被害をもたらすのに十分かどうかは不明である。
このような攻撃は英国に限ったことではない。タイムズ紙によると、アイルランド電力供給庁(ESB)は、制御システムへの侵入を企むロシア系ハッカーの攻撃を受けているという。エメラルド島のセキュリティ関係者はエル・レグ紙に対し、この攻撃はフィッシングメールを送ったエンジニアが不正だと気付き、通報したことによるものだと伝えた。ESBは攻撃は失敗したと発表している。
一方、サイバースクープは、認証情報の窃取を目的としたキャンペーンの一環として、複数の米国エネルギー企業にフィッシングメールが送信されたと付け加えている。
偵察
これらの報告書を総合すると、将来の攻撃に備えて、西側諸国のエネルギー企業における認証情報の窃取、ネットワークのマッピング、そして脆弱性の探り込みに向けた組織的な取り組みが行われていることが示唆されます。今のところ被害は発生していませんが、2015年12月にウクライナで発生したBlackEnergyマルウェアを使った画期的な攻撃以来、エネルギー業界への攻撃の脅威は高まっています。この攻撃により、キエフ周辺の地域で数時間にわたる停電が発生しました。
人気の侵入テストツール「Metasploit」を開発する企業、Rapid7の専門家によると、西側諸国のエネルギー部門を標的とした最近の「偵察」活動は、インターネット全体のスキャンやワーム活動というよりも、標的を絞ったフィッシング攻撃の形をとる可能性が高いという。
ハッカーは、エネルギー業界で働くと名乗る人物を標的にフィッシング攻撃を行い、被害者のコンピュータにシェル(ウイルス)を送り込むことが目的とみられる。シェルで仕込まれたアカウントは、「高度な国家支援を受けた敵対的な脅威アクターに関連するインフラ」に接続している。
「これらのステップは、Rapid7 SonarでもHeisenbergでも特に目立ちません。Heisenbergは非直接的な攻撃(インターネット全体のスキャンやワームの活動)を捉えるのが得意ですが、今回のような直接的な攻撃はそれほど得意ではありません」とRapid7のTod Beardsley氏は説明した。
エアギャップに注意してください。何のエアギャップですか?
Nozomi Networks の創設者兼最高製品責任者であるアンドレア・カルカーノ氏は、エアギャップに敏感な運用ネットワークとシステムを企業の IT ネットワークから切り離すことが不可能なことが、この問題の一因であると述べています。
「制御システムにアクセスできるエンジニアをフィッシングメッセージで狙うのは非常に簡単で、成功すれば甚大な被害をもたらす可能性があります」とカルカーノ氏は説明した。「同時に、エアギャップはある程度の保護を提供していましたが、原子力発電所、そしてあらゆるインフラの現在の維持管理方法を考えると、この手法はもはや通用しません。」
「エンジニアが診断チェックを行うために、自分のデバイスを『接続』するのをよく見かけます。もしその人のデバイスが侵害されていた場合、この行為によってマルウェアがチェック対象の各コンポーネントの中核に直接侵入し、インフラの奥深くまで潜り込んでいく可能性があります」と彼は警告した。
SCADA システムをエアギャップすることは賢明な戦術のように思えるかもしれないが、SCADA 技術の先駆者である Faizel Lakhani 氏が以前El Regに語ったように、実際の運用ネットワークは、誰かが外し忘れたテストリンクや、誰かが設定した Wi-Fi ネットワークへのブリッジなどの理由で分離されることはほとんどない。
ほぼあらゆるものが何らかの形でインターネットに接続されており、遠隔監視などの機能のために産業IoT技術の導入が進む業界も、この傾向を加速させています。こうした接続性の向上は、産業用制御システムやエネルギー供給システムを攻撃から守ろうとする人々にとって大きな意味を持ちます。
カルカーノ氏はさらにこう付け加えた。「リスク管理の観点から言えば、重要インフラのあらゆる部分が24時間365日体制で脆弱性の調査を受けていると想定する必要があります。電力網システムなどの重要インフラを制御する情報技術(IT)と運用技術(OT)は分離されていますが、その連携はますます強化されています。」
「リスク管理は継続的なプロセスです。最新のパッチ適用と、人工知能と機械学習を活用して疑わしいネットワーク通信やインシデントを即座に特定することで、産業用制御システムを守るセキュリティを強化することができます」と彼は付け加えた。
産業制御; システムの脅威 [出典: ENISA ホワイトペーパー: ICS/SCADA システムの通信ネットワーク依存性]
インターネット露出
カスペルスキー研究所が昨年発表した産業制御システム(ICS)の脅威状況に関するレポートでは、大規模組織はインターネットに接続されたICSコンポーネントを保有しており、サイバー犯罪者による重要インフラシステムへの攻撃を許す可能性があることが明らかになりました。特に米国の組織がこうした脅威にさらされていました。
調査の結果、インターネットに公開されている13,698台のホスト上の17,042個のICSコンポーネントは、大規模組織に属する可能性が高いことが判明しました。これらの組織には、エネルギー、運輸、航空宇宙、石油・ガス、化学、自動車・製造、食品・サービス、政府機関、金融機関、医療機関が含まれます。これらの数値はKaspersky Labから入手可能な最新のものです。より最近の調査でも、より詳細な情報は得られないものの、同様の状況が示されています。
「世界は重要インフラに対するサイバー脅威に備えていないが、英国のエネルギー部門への侵入が広く推測されていることからもわかるように、犯罪者は明らかにこれらの施設への攻撃を仕掛ける準備と能力を備えている」とカスペルスキー研究所の主席セキュリティ研究者デビッド・エム氏は述べた。
電力網、石油精製所、製鉄所、金融インフラ、港湾、病院などへの攻撃は、組織が攻撃を察知し、対応してきた事例が数多く存在します。しかし、多くの企業は対応しておらず、これらのインシデントの報告不足が、リスク評価と脅威への対応を妨げています。
「セキュリティは各組織の特定のニーズに合わせて調整され、継続的なプロセスとして捉えられる必要があります。これは人的側面にも当てはまります。人々を騙して最初の攻撃を仕掛ける行動を取らせることは、他のあらゆる状況と同様に、このような施設への攻撃でもよくあることです」と彼は付け加えた。
フィッシュフライ
ERPScanが2年前に発表した画期的な調査では、石油・ガス生産において、ハッカーがエンタープライズプランニングから生産システムへと攻撃を仕掛けることで、一見エアギャップ構造にあるシステム間のギャップを埋める可能性があることが示されました。SAPビジネスソフトウェアやその他のエンタープライズシステムの脆弱性や安全でないインストールは、疎結合ではあるものの、依然として相互接続された産業用制御システムに干渉するために利用される可能性があります。
それは侵入方法の一つかもしれないが、実際には、標的のネットワークへの最初の重要な足がかりを確保するには、もっと簡単な方法があるかもしれない。
APERIO Systemsの最高経営責任者であり、イスラエル国防軍(IDF)のエリート諜報部隊の元チームリーダーであるマイケル・シャリット氏は、標的のSCADA(産業用制御)ネットワークの戦略的な場所にマルウェアを植え付けることを最終的に目的としたあらゆる作戦において、最初の侵入ポイントが鍵となると説明した。
「残念ながら、今日の典型的なSCADA環境は、既知のPLC脆弱性へのパッチ適用が不足している、あるいは明らかに存在するもののまだ知られていないゼロデイ脆弱性が多数存在するなど、非常に簡単に遠隔的に攻撃を仕掛けたり、特定の機器に影響を及ぼすことが可能です。そのため、攻撃者が一度足場を築いてしまうと、拡散や「借用」は容易です」とシャリット氏はEl Regに語った。
「最も難しいのは、最初の『足がかり』を得ることです。SCADAネットワークは通常、外部のネットワークから分離されているためです(理論上は…)」と彼は付け加えた。
最も簡単な方法の 1 つは依然としてかなり単純なフィッシング攻撃ですが、国家が支援するハッカーは、「意図的または意図的でない」内部関係者や機器の偽造および/または妨害を特徴とする、はるかに包括的な戦略を自由に使用できます。
「たとえ隔離されたシステムであっても、メンテナンスやインストールのために、時にはリモートアクセスを許可する必要がある」とシャリット氏は説明した。「国家機関はこうしたビジネス関係を突き止め、関係者に事前に感染させる可能性がある」
設備が工場や施設に設置される前に戦略的に感染させることは、長期戦を仕掛けるハッカーにとって選択肢となります。
スリーパーセル
さらに、ゼロデイ攻撃を連鎖させて外部管理ネットワークの段階的な部分へのアクセスを獲得し、SCADA ネットワークを外部から隔離するように設計されたルーターや機器などのネットワーク ハードウェアに侵入するという可能性もあります。
西側諸国の電力供給システムを探っているように見える有能なハッカーたちは、一体何をしようとしているのだろうか?「デジタルスリーパーエージェント」を入手することが一つの目的かもしれない。これは、現時点では完全に受動的だが、(リモート)ボタンを押すだけでシステムを停止させることができる、巧妙に隠されたマルウェアだ。潜在的な起動目的は、実際の経済的損害を与えるためのものではなく、力を見せつけること、つまり心理的な威嚇効果を生み出すことにあるかもしれない。しかし、一度アクセスが侵害されれば、近年のウクライナ、サウジアラビア、カタールへの攻撃が示すように、戦争や紛争の際に展開される可能性もある。
ベストプラクティス
SANS Instituteは今月初め、エネルギー企業、化学製品メーカー、重要インフラプロバイダー、その他の産業事業者を対象とした2017年調査の結果を発表しました。調査では、産業用制御システム(ICS)のセキュリティリスクが過去最高水準に達していることが明らかになりました。
調査の一環として質問を受けたICSセキュリティ担当者10人中4人が、自社のICSネットワークに対する可視性が不足していると回答しました。パッチ未適用のシステムに対する最近の攻撃がニュースで大きく報道されているにもかかわらず、SANSの調査によると、ベンダー検証済みのパッチを定期的に適用しているのは回答者のわずか46%に過ぎず、重要な制御システム資産にパッチ適用もレイヤー管理も施していない回答者は12%にとどまりました。
信頼性と可用性は依然として OT システムの最優先事項ですが、ICS セキュリティ担当者の 69% は、ICS システムに対する脅威は高いか、深刻かつ重大であると考えています。
ICS-SCADAセキュリティ [出典: ENISA]
EUのセキュリティ機関ENISAによる最新の年次調査では、産業用制御システムなどの重要インフラシステムをサイバー脅威から保護するための推奨事項が示されています。ICS/SCADAシステムの通信ネットワーク依存性に関するENISAの報告書は、こちらからダウンロードできます。®
