「サポート終了」(EOL)後のOSに対し、ベンダーが重要なサイバーセキュリティパッチをリリースしたケースは、これまでに何回あったでしょうか。EOL終了後は、通常、ベンダーがバグの修正や、オペレーションの改善、サイバーセキュリティの修正のためのパッチを提供することはありません。ですから、ベンダーが時間とリソースを使ってこの慣習を破り、BlueKeepへの対応でそうしたように、EOL後のOSにパッチを提供するとしたら...それは、何を意味するのでしょうか?
ベンダーがわざわざ時間とエネルギーを費やしてそれを行うには、何か重大な理由があるはずです。つまり、マルウェアやワーム、ランサムウェアの大量増殖が、まだレガシーOSを使用している環境(特に、重要なインフラストラクチャーや医療環境)に悪影響をもたらすことを確実視しているということです。
どのOSやソフトウェアアプリケーションにも、このようなジレンマが生じ得ることを知っておくべきでしょう。通常のサポートまたはメンテナンスサイクル終了後にパッチを適用するのは、どのような場合でしょうか?これは、WindowsやWindows XPだけの話ではありません。
とは言え、Windows XPは、2001年10月に市場にリリースされてから18年経った今でも、世界的に広く使用されているという点において特異な存在です。Windows XPは2014年4月14日に、Windows XP Embeddedは2016年1月12日にEOLとなりました。
Window XP向けの3つのポストEOLフィックス
Microsoftは、サポート終了後のWindows XP用に、緊急の重要なサイバーセキュリティアップデートを3回にわたって発行しました。これらのアップデートには、以下に対する修正プログラムが盛り込まれました。
お気づきのように、Microsoftは、CVE-2019-0709へのパッチ適用が非常に重要であると考えています。なぜならば、この脆弱性を悪用すると、Windows 2000やXPなどのレガシープラットフォームを含む数多くのWindowsプラットフォームに対してリモートでコードを実行できるようになるからです。
リモートコード実行は、ワームまたはマルウェアがネットワークを介してマシン間で拡散することが可能になる脆弱性の一種です。Microsoftは、同社のレガシーOSにリモートコード実行の危険が及ばなければ、パッチの提供を行わなかったでしょう。
このパッチ適用が産業用制御システムにとって重要な理由
Windows XPおよびWindows XP Embeddedは、長年にわたり、多くの産業用制御システムにとって重要なコンポーネントでした。XPは、あらゆる産業セクターが採用しているSCADAおよびHMIソフトウェアパッケージに使用されているOSです。
最近では、WannaCryのようなランサムウェアが生産施設全体を停止させています。1分あるいは1時間のダウンタイムでは、どの程度のコストが発生するのでしょうか?
制御環境内にWindows XPやWindows XP Embeddedがいくつ存在するかをどのように知ることができますか?それらの数と場所が正確に特定できたとして、リモートデスクトッププロトコル(RDP)が使用されているか、または制御システムを実行するためにRDPが必要であるかを判断できますか?
また、BlueKeep(別名Dejablue)の脆弱性を悪用する可能性のあるマルウェアやランサムウェアの拡大リスクを緩和するために、保護的措置がとられているかを知っていますか?保護的措置には、RDPが不要な場合の無効化や、ネットワークセグメンテーションによるネットワークアクセス制御の設定などがあります。それにより、RDPが制御ネットワークを通過する領域を制限して攻撃を回避します。
BlueKeep攻撃を防御するためにすべきこと
BlueKeepがもたらす潜在的なリスクを軽減するための現実的な方法が2つあります。その方法とは、
1. 以下を前提として、環境全体ですべてのWindows XPインスタンスにパッチを適用する。
-パッチが、HMI、SCADA、またはベンダーの自動化ソフトウェアパッケージの動作に影響を与えないようにすること。
-制御環境全体に存在するすべてのWindows XPイメージの正確なインベントリが準備されていること。
2. 基本的な保護的措置を実施する。
-RDPが必要ない場合には無効化してデバイスの安全性を強化する。
-ある程度のRDPの実行が必要であるという仮定のもとで、ネットワークセグメンテーションを行う。
・OT境界ルーターおよびファイアウォール上で、インターネットおよび企業ITからのすべてのRDP通信を拒否するようにする。
・どのデバイスが制御ネットワークにRDP通信できるかのみを制限して、ワークステーションおよびHMI/SCADAパッケージを実行するXPインスタンスを管理する。
BlueKeepに関連するリスク軽減の特効薬はありません。最良の方法は、その両方を組み合わせて、相互に抑制作用を働かせることです。どちらの方法を取るにしても、正確な資産インベントリという共通のポイントがあります。存在自体を把握していない資産に対しては、BlueKeep用パッチの適用も、サービスの無効化も、ネットワークのセグメント化も行えません。
重要なのは、「何もしない選択肢はない」ということです。これを機に、サイバーセキュリティの道を進めるか、あるいは現在のプログラムを強化しましょう。BlueKeepは、産業用制御環境において攻撃の対象となる数多くの脆弱性の1つに過ぎません。ですから、BlueKeepに対する取り組みを、次なる重大な脆弱性への対応に活かすようにしましょう。努力を無駄にしないようにしてください。
正確な資産インベントリを維持する方法
Tripwireは、制御ネットワーク上に存在する資産の把握に役立つさまざまな方法を提供しています。当社では、複数の方法を駆使して、データを収集し実用的な情報に変換していることを理解していただきたいと思います。
Tripwireでは、次のような技術を用いてデータを収集しています。
ネットワーク内には、1つの機能でしか収集できない部分もあるため、正確なインベントリを包括的に可視化して維持するには、上記4つの機能すべてが必要となるでしょう。
資産インベントリの次に重要なものは?可視性、保護的措置、継続的な監視
資産インベントリは可視化が可能な領域の1つです。そのほかにも、BlueKeepなどの脅威から制御ネットワークを保護するのに役立つだけでなく、制御ネットワークと産業プロセスの運用を維持し、それによって生産性、品質、安全性を高めることのできる重要なコンポーネントが存在します。可視化が有効な他の領域は次のとおりです。
上記のすべての領域において可視化を実現すると、どのような保護的措置を実装すべきかが自ずと明らかになるでしょう。IEC 62443などのフレームワークまたはガイドラインを採用しているか否かにかわらず、すべての産業用サイバーセキュリティフレームワークでは、ネットワークセグメンテーションとデバイスの強化という2つの基本的な対策が要求されます。
Tripwireのソリューションは、以下の保護的措置の実装に役立ちます。
可視性と保護的措置の基盤が確立されたら、制御ネットワークの持続的な監視を開始して、継続的な状況認識を行い、異常や予期しないふるまいを検出することができます。このような認識によって、ネットワークを稼働状態に保ち、不必要な計画外のダウンタイムを回避することが可能になります。問題解決や計画外の作業にどれだけの時間がかかっていますか?
Tripwireのソリューションでは、継続的な監視機能を実行することにより、以下のように認識を高めることができます。
詳細については、以前のブログ記事を参照してください。 ICS向けサイバーセキュリティ:可視性、保護的措置、持続的な監視 - その繰り返し
Tripwireのソリューションの説明は、https://www.tripwire.com/solutions/industrial-control-systems/をご覧ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース