セキュリティの専門家はこれまで「電力供給システムや重要なインフラを保護するシステムはサイバー攻撃に対して脆弱である」と企業や政治家に警告してきました。このような攻撃が成功すると、甚大な被害をもたらしかねません。
実際に、Dark Readingで報告したように、ICS-CERT が実施した業種別監査では、「2012 年 10月~2013 年 5 月の間において、他の業界と比較し、エネルギー業界が最も多くのサイバー攻撃の対象となった」という結果が出たと発表されています。
この警告に反して、エネルギー会社は、適切な防御措置やサイバー攻撃への対応を怠ってきました。米国国家安全保障局長官のキース・アレクサンダー氏は次のように発言しています。
「防衛力を 10 が最高の 10 段階評価した場合、破壊的なサイバー攻撃に対する我が国の重要インフラの備えは、私の経験では 3 程度であると考えます。」
統計もアレクサンダー氏の意見を支持しているようです。コンサルティング会社のブーズ・アレン・ハミルトンが発表した 2016 Industrial Cyber Security Threat Briefing(2016 年 業種別サイバーセキュリティ上の脅威まとめ)では、次のような結果が報告されています。
- 調査回答者の 34%が、過去12か月に自社の産業用制御装置が 2 度以上侵害されたことを認めた。
- 44%は攻撃ソースを特定できなかった。
- 米国の送電網は、4日おきにサイバー攻撃または物理的な攻撃を受けている。
- 2011 年以降の電力インフラに対する300件以上の攻撃では、その容疑者が特定されていない。
攻撃ベクトル
攻撃者は、悪意のある内部者、国家的組織、ハクティビストといったいつもの顔ぶれでした。これまでの侵入ポイントに加え次のような手法が追加されています。
- 施設やプラントへの物理的な侵入
- サプライチェーンの弱点
- インターネットに接続された重要インフラ
- 悪意のある内部者
- 法規制の盲点
攻撃活動
電力会社への攻撃は、ランダムに発生しているのではありません。オペレーションを停止させるためには、高度なシステムの知識が必要となることから、攻撃は標的型であり、ランサムウェア、マルウェア、およびサードパーティのサプライチェーンのエントリポイントなどの複数の戦略が用いられていることがわかります。報告されている手法の一部を以下に示します。
- ランサムウェア(Cryptolocker)
- マルウェア(BlackEnergy、Conficker、Ramnit)
- 物理設備(Pacific Gas や Metcalf Electric のサブステーション)
- サプライチェーン(Dragonfly/Energetic Bear)
- ICS ファームウェアアップデート
- デバイスドライバ
- インフラストラクチャ管理サービス
傾向
調査を進めるなかで、私は SCADA Access-as-a-Service(SAaaS)、HMI (ヒューマン・マシン・インターフェース)への攻撃、および脆弱なコードベースに対するアクティブなエクスプロイト攻撃の増加などの興味深い傾向に気付きました。また、破壊が目的ではない、知的財産の侵害ケースが発生し、ICS オペレータを標的とするランサムウェアの脅威が増加し続けています。ブーズ・アレンのレポートによると、2014 年の第 2 四半期には 10 万未満であったランサムウェアのサンプル数が、2015 年の第 4 四半期には 6 百万にまで増加しました。悪名高いランサムウェアの Cryptowall は、2015 年に 3 億ドル以上の収益を生み出しました。
重要インフラは明らかな標的です。以下に過去の攻撃から得た対策と教訓、およびベストプラクティスを紹介します。これらは御社の産業環境におけるセキュリティの向上のために活用していただけると思います。
ウクライナでのハッキングによる大規模停電から得た教訓と対策
- 受信するドキュメントおよび Eメールを評価するサンドボックステクノロジ
- プロキシを使用して送受信のための通信パスを制御
- 境界での外向きのアクセス制御を実装し、ワークステーションの通信をプロキシデバイス経由のみに制限
- ICS/SCADAデバイスを継続的に監視し、異常なアクティビティを迅速に検出
- 機密データが格納されるすべてのシステムにネットワークセグメンテーションと多要素認証を適用
- UPSシステムへのリモートアクセスを無効にする
攻撃の最前線から得た教訓と対策
- SANS の重要なセキュリティコントロール「トップ 20」の基本に立ち返る (AuditScripts社は、コントロールの進捗状況の測定に便利な無料のリソースを提供しています)
- CIS の基準を適用してシステムを強化する
- 信頼できるシステム上では高度なモニタリングを実行する
- ISA-99(Purdue 参照モデル)のような確実なフレームワークを使用してセグメント化する
- Citrixのインフラストラクチャに、ローカルドライブのリダイレクトが行われないようにする (VDI はマシンのローカルドライブを反映し、内部のインフラストラクチャをローカルマシン上にさらしてしまいます。これが環境への感染経路に悪用される場合があります)
- 可能であれば、CI コンポーネントへの直接のインターネット接続を禁止する
- インターネットから直接実行される PLC アップデートを禁止する
- セキュリティアプリケーションや OS ファイルを含む重要なファイルの変更を監視する(Tripwire 製品はこの機能を提供する優れたツールです)
- セキュリティサービスが停止されたときに、変更検知機能がアラートを生成するようにする(Tripwire 製品はこの機能も提供します)
- Six Degrees of Domain Admin を使用して Active Directory の隠れたアクティビティを把握する
- 従業員や請負業者に意識向上のための継続的なトレーニングを提供する
すべてのセキュリティ上の問題を解決するための特効薬はありません。しかし、これらの解決策は重要インフラへの攻撃成功のリスク低減に役立てることができます。
法規制が増え、産業向けサイバーセキュリティプログラムが成熟するにつれ、新たな職位が作られ、この分野への参入に興味を持つ人材向けに新たな機会も増えています。セキュリティリサーチャーの Robert M. Lee 氏は、ICS/SCADA のサイバーセキュリティキャリアを始める人向けに役に立つリソースのリストを公開しています。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。