近年、サイバー攻撃において重要インフラが標的にされています。公共サービスの切断や公共の場での安全の妨害といった、我々の生活環境に深刻な影響を与えかねない事態が懸念されています。ウクライナで発生した6時間に渡る8万を超える世帯での停電は、記憶にも新しいところです。
2015年10月のCyberWarNews による報道では次のように述べられています。「米国のありとあらゆるインフラ -電力網から、ダム、空や地上の交通管制、水処理場、そして金融機関に至るまで- にはオンラインでのアクセスが可能である。これらインフラは防護策は取られてはいるものの、一部には未だにセキュリティの脆弱なものが存在する」
オペレーション技術グループが管理することの多い産業用制御システム (ICS) は、電力、エネルギー分野の組織にとっては極めて重要なシステムでありオンラインで管理されています。通常、マルウェアはIT を介して侵入し、ICS等の運用システム内に広まっていきます。多くの場合、公開されている脆弱性情報、設定ミス、フィッシング等を用いた手口が使われるのです。
米国、カナダ、そして一部のメキシコの電力事業オーナーや運営者に向けてセキュリティ・サービスを提供している The Electricity Information and Sharing Center (E-ISAC) は最近、ウクライナでの事件を受け、サイバー・セキュリティに関して「入念な対策」をするよう会員団体に要請しました。
最近の報道によるとウクライナでのサイバー攻撃は、顧客に電力を十分に送り込んで電力供給に異常がないよう見せかけたり、オペレータの注意をそらす工作をするなど、実に巧妙に仕組まれた攻撃であったとされています。
SANS blogによると、「このマルウェアにはまた、攻撃の効率を高めシステムの復旧を遅らせるために、SCADAシステムの利用をさせないように侵入したことを悟られないようにファイルを消去する手法が用いられたようである」としています。オペレータは速やかに手動制御に切り替え、感染したワークステーションとサーバを送電網から切断してシステムを復旧させました。
この例からもハッカーの能力は高く既存のマルウェアをより進化させて用いる傾向が見て取れます。よく知られたマルウェアであるBlack Energy (ウクライナの攻撃でも発見されている) は、2007年に出現しましたが、最近のタイプはコンピュータのハードドライブを破壊し、産業制御システムを妨害する能力を持つまでに至っています。これほど長期間その存在が確認されているのであれば、検知するのは容易になっていてもよいはずだと思うでしょう。
ICS-CERT では、新型のBlack Energyマルウェアを検知するためにYARA rulesを用いる際には、ICSへの感染を防止するために段階的手順を踏むよう推奨しています。
2016年はICS攻撃の年となるのか?
ICSの主要なコンポーネントの多くはセキュリティが問題となるはるか以前にプログラムされたものです。これに加えICSセキュリティの専門家もほとんど存在しません。ITセキュリティのエキスパートでもICSについてはごく限られた知識しかもたない現状があります。それでも彼らはICSへのマルウェア感染、増殖の被害を最小限にするべく、ITインフラを防護しなければならないのです。このようにセキュリティ知識には溝があるものの、IT と OT (情報テクノロジと運用テクノロジ) は共通の目的のために手を取り合う必要があります。
それでは、電力、エネルギー分野の企業や組織はいかにしてセキュリティ強化できるのでしょうか?
- 米国国土安全保障省 (DHS) は最近、「ICSを万全にする7つのステップ」というリポートをリリースしています。Learn how Tripwire implements the 7 steps
- ウクライナでの事案のような悪意を持ったハッカーの計画的な攻撃を防止するため、絶えず資産の保全とモニタリングに努めること。運用コストや人為的エラーの削減を意識することで、他分野でのセキュリティ対策とも一体化した、自動化された業務の流れが出来上がります。こちらの記事(Executive Guide to The Top 20 Critical Security Controls) が参考になるでしょう。
ICSというインフラを当たり前の存在のように考えるべきではありません。2016年は、電力、エネルギー分野におけるインフラのサイバーセキュリティをしっかりと高める年にするべきでしょう。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。