Black Hat Europe のハッカーは、企業計画から生産システムへと方向転換することで、石油およびガス生産における隔離されたシステム間のギャップを埋めることができるかもしれない。
ERPScan のセキュリティ研究者は、SAP ビジネス ソフトウェアやその他のエンタープライズ システムの脆弱性や安全でないインストールが、疎結合ではあるものの接続されている産業用制御システムに干渉するために悪用される可能性があると警告しています。
アレクサンダー・ポリャコフ氏とマシュー・ゲリ氏は、先週アムステルダムで開催されたBlack Hat Europeカンファレンスでのプレゼンテーションで、このリスクについて概説しました。最悪のシナリオとしては、安全でない設定が悪用され、運用プロセスに干渉し、生産の混乱や妨害行為につながる可能性があります。
サウジアラムコとラスガスに対する石油・ガス業界への注目を集めたサイバー攻撃では、ワイパー型のマルウェアが使用され、企業のコンピューターが破壊された。
販売や会計に使用されていた PC システムが使用不能になったにもかかわらず、生産には影響がありませんでした。
しかし、ポリャコフ氏とゲリ氏が指摘した、あまり知られていないセキュリティリスクは、どちらの攻撃にも全く関係していないと、両研究者はエル・レグ紙に語った。むしろ、これらのリスクは、ターゲット社のハッカーがHVAC管理システムを利用して企業ネットワークに侵入し、POS端末にマルウェアを仕掛けた方法に似ている。
SAPのバグとSCADAの脆弱性
ポリャコフ氏とゲリ氏の研究は、石油・ガス業界で広く利用されているSAPシステムとOracleシステムに焦点を当てています。石油・ガス業界向けには、SAP Upstream Operations Management(UOM)やSAP PRA(Production and Revenue Accounting)、Oracle Field Service、Oracle Enterprise Asset Managementといった専用のSAPモジュールも存在します。
石油生産量の推定 75% (1 日あたり 7,000 万バレル) は SAP システムによって制御されています。
ミッションクリティカルなビジネスアプリケーションは、多くの場合、異なる種類の統合テクノロジーを使用して相互に接続されます。企業ネットワークに配置されているエンタープライズアプリケーションは、通常、産業用制御システム内のデバイスに接続されます。
たとえば、石油量に関するデータを収集するプラント デバイスは、企業のリソース システムとインターフェイスします。
解説:悪意のある人物がSAPネットワークにハッキングする方法の計画は次のとおりです。
「だからこそ、ITとOT(運用技術)の間にファイアウォールがあっても、接続されているアプリケーションが存在するのです」と、2人の研究者がまとめたホワイトペーパーは説明しています。「だからこそ、このような攻撃を実行し、ITネットワーク(あるいはインターネットさえも)からOTネットワーク、さらにはフィールドデバイスやスマートメーターにまで侵入することが可能なのです。」
最悪の場合、ハッカーが上流の石油・ガス探査施設、中流の輸送・処理工場、下流の製油所や販売業務にアクセスできるようになるリスクがあります。
ERPScanの研究者らは、上流工程において、攻撃者が可燃性混合物の比率を制御することでバーナー管理システムに大混乱を引き起こす可能性があると述べています。最も単純な攻撃はパージ機能を停止させることですが、産業用制御システムに対するその他の攻撃は、妨害行為や製油所の閉鎖など、さらに深刻なリスクをもたらす可能性があると、ERPScanの研究者らは警告しています。
2 人の研究者は、SAP の xMII (製造、統合、インテリジェンス) システム、SAP Plant Connectivity、SAP HANA データベース、ERP 向け SAP Oil and Gas 拡張機能、およびその他のエンタープライズ リソース プランニング アプリを研究しました。
問題が発生するのは、企業管理システムと産業用制御システムは、理論上は分離されているものの、実際にはリンクされていることが多く、管理者が工場で何が起こっているかのリアルタイム情報を簡単に取得できるためです。
SAP xMIIシステムはプロセスデータを収集し、プログラマブルロジックコントローラ(PLC)やその他の産業用制御デバイスを管理するOPC(OLE for Process Control)サーバーにデータを送信します。ERPScanは、SAP xMIIのJ2EEエンジンにSQLインジェクションのセキュリティ脆弱性を発見しました(この脆弱性は既に修正済みです)。この脆弱性により、インターネットに接続されたSAPポータルをハッキングしてSAP xMIIシステムにアクセスできるようになる可能性があります。
また、ERPScan は SAP HANA データベースにメモリ破損と実行の脆弱性を発見しました。
ERPScan は ERP システムのセキュリティ調査の専門家としてよく知られており、SAP や Oracle のシステムの欠陥を頻繁に発見しています。
石油・ガス企業にとって、システムの設定ミスはソフトウェアの欠陥よりもさらに大きなリスクとなります。ERPScanによると、ハードコードされたパスワードに加え、ERPシステムと産業用制御システムが同じ物理ボックス上で稼働している例もあります。
「当社には、ITネットワークに配置され、SAP xMIIに接続されたSAP ERPなどのSAPシステムがあります」とERPScanの最高技術責任者であるポリャコフ氏はEl Regに語った。
「このWindowsサーバーから、攻撃者は通常は安全ではないPLCデバイスにコマンドを送信できます。例えば、認証なしでModbusプロトコルを使用することで可能です。つまり、ハッカーがOT(オペレーションテクノロジー)ネットワークに侵入するには、SAP PCo(SAP Plant Connectivity)サーバーをハッキングするだけで十分です。SAP xMIIをハッキングし、PCoからユーザー名とパスワードを抽出すれば、侵入が可能になります」と彼は付け加えました。
ERPScan によると、SAP Plant Connectivity は産業データとビジネス アプリケーション間のハブおよびリンクとして機能します。
「SAP PCoとOPC [OLE for Process Control] サーバーが同じハードウェア上に配置されていることはよくあることです」と、セキュリティエンジニアのGeli氏は付け加えました。「PCoを1つのマシン上に配置して、別のマシン上のOPCサーバーと通信するという作業環境を構築するのは面倒で、多くの場合、マシンがOT側にあるからそれほど重要ではないという(悪い)考えから、両方を同じマシン上に配置することでこの問題を回避しようとするのです。」
研究者らは、石油・ガス業界は上流工程や下流工程での資源窃盗に関わる詐欺の脅威にもさらされていると警告している。
