最近、米国サイバーセキュリティ・インフラ・セキュリティ局(CISA)は、他の6つの連邦政府機関およびカナダと英国のカウンターパートとともに、水道施設を標的とした悪質なサイバー活動に直面して防御を強化するよう、北米およびヨーロッパの水処理システム事業者に警告を発した。5ページのデータシートは5月1日に発行された。
この文書では、時代遅れのリモートアクセス・ソフトウェアの脆弱性を悪用する初歩的な攻撃テクニックを使用する親ロシア派のハクティビストによる度重なる侵入を挙げている。ネットワークに侵入すると、システムの監視や変更に使用されるタッチスクリーンなどのヒューマンマシンインターフェース(HMI)を制御できるようになり、施設内の重要なプロセスを操作する産業用制御システム(ICS)を侵害することができる:
親ロシア派のハクティビストはHMIを操作し、送水ポンプや送風機を通常の運転パラメーターを超える状態にした。いずれのケースでも、ハクティビストは設定値を最大にし、その他の設定を変更し、アラーム機構をオフにし、管理パスワードを変更して上下水道システムのオペレータを締め出した。
CISAによれば、この攻撃は「物理的な混乱はほとんど」引き起こさず、タンクのオーバーフローなど「迷惑レベル」の影響しかもたらさなかった。飲料水への影響はまだない。とはいえ、だからといって軽視されるべきではない。「これらの行為者は、安全でない、誤った設定の運用技術(OT )環境に物理的な脅威をもたらす技術を有している」と同機関は警告している。
なぜ水道セクターはハクティビストにとって魅力的なのか?
上下水道システムはハッカーにとって理想的な標的である。なぜなら、厳しい予算、緩いサイバーセキュリティの実践、そして小規模な攻撃であってもほぼ確実に世間に知られるという3つの要素を兼ね備えているからだ。労力も少なく、実害を与える必要もないため、悪質業者は最大限の悪評を得ることができる。
1.料金引き上げは、安全保障ではなく、老朽化したインフラに資金を提供しなければならない。
今回の相次ぐ攻撃は、全米に数千ある自治体の水道システムが直面しているサイバーセキュリティの課題を露呈している。地域の料金値上げには州の公益事業委員会の承認が必要で、余剰資金は通常、第二次世界大戦後にさかのぼる古い上下水道管や設備の交換に充てられます。サイバーセキュリティに対する連邦政府の資金援助もあるが、一般的に水道局はサイバー脅威に対処するための訓練を受けたセキュリティ・スタッフ(OT )を雇う余裕はない。
2.サイバー衛生の欠如が常態化している。
このようなリソースの制約を考えると、上下水道部門でサイバーセキュリティの実践が不十分であることが多いのは当然である。CISAとFBIの刑事が、最近侵入された米国の施設を調査したところ、いずれもインターネットに接続された機器が古く、脆弱なパスワードで保護されていた。同様に、2024年3月にホワイトハウスが 各州知事に宛てた覚書では 、「デフォルト・パスワードのリセットや既知の脆弱性に対処するためのソフトウェアの更新といった、基本的なサイバーセキュリティ対策さえも」広く行われていないことが挙げられている。
3.安全な水の供給には高い "恐怖要素 "がある。
確かに、ITやOT のネットワークに侵入し、物理的・金銭的な実害をもたらすことを意図した巧妙な手口を使う、国家を後ろ盾とするサイバー犯罪集団は存在する。今のところ、水道セクターではそのようなことは起きていない。迷惑な攻撃では、恐怖を煽ることが重要なのだ。上下水道プラントへの攻撃?従来のメディアやソーシャル・メディアは、そのようなニュースには逆らえない。「HMIをコントロールできるのなら、水道に毒を入れたり、病気の発生を引き起こしたりすることを想像してみてほしい。報道は確実に視聴率とクリックを集める。
OT 予算が限られている事業者のためのサイバーセキュリティのベストプラクティス
このデータシートは、上下水道部門に関して過去10年間に出された一連の警告のひとつであり、いずれも同様の所見と勧告を含んでいる。複数の省庁間作業部会があり、具体的な緩和策を示した資料も数多くある。このCISAのインフォグラフィックからのスナップショットは、水道施設の所有者と運営者が何をしなければならないかを要約している:
所有者や運営者は資金不足を嘆くことができるが、積極的に狙われている重要インフラについて話している場合、何もしない言い訳にはならない。全従業員を対象としたサイバー意識向上トレーニングなど、基本的なサイバー対策を実施するのに複雑でコストがかかる必要はない。
サイバーセキュリティ・プランを即座に策定するために、CISAがアドバイスする3つの行動からすぐに始めましょう:
- OT デバイス(PLC と HMI を含む)のデフォルトパスワードをすべて変更し、強力で一意のパスワー ドを使用する。
- すべての HMI とプログラマブル・ロジック・コントローラ (PLC) を、公衆インターネットから切り離す。
- OT ネットワークへのすべてのアクセスに多要素認証を導入する。
上下水道システムが標的にされる可能性があるとお考えなら(最近話題となった地方の小規模プラントを考えると予測は難しいが)、OT/ICS のサイバー防御を強化するための予算を組む時だ。正確な資産目録の維持、脅威や異常の継続的な監視、脆弱性の評価といった行動は、自動化された場合に最も効果的である。
Nozomi Networks OT/ICS サイバーセキュリティを他のどのベンダーよりも理解しています。また、上下水道公社がどのような制約の下で運営されているかを理解しており、より少ないリソースでより多くのことを行うことで回復力を維持できるよう支援します。
詳しくはhttps://www.nozominetworks.com/industries/water-wastewater-cybersecurity。
