フロリダ州の警察当局がオールズマー水道局にサイバー攻撃があったと発表したとき、そのニュースはあまりにも身近に感じられた。数年前、私はこの地域に住み、その周辺で働いていた。現在、私の家族と私は、オールズマー水道局を管理するピネラス郡の近くに住んでおり、同郡の保安官は現在、FBIと米国シークレットサービスとともにこの事件を調査している。妻は週に何度かピネラス郡にいるし、5歳になる息子と私は頻繁にこの地域を訪れている。私の家族や多くの友人たちは、この水を定期的に飲んでいる。
だからこそ、攻撃者がTeamViewerアプリを活用して市の水処理システムにリモートアクセスし、水酸化ナトリウムのレベルを100倍以上に引き上げたことを知ったことは、専門的にも個人的にも憂慮すべきことだった。ありがたいことに、問題は被害が出る前に修正されたが、この事件はどこの水道局にとっても警鐘となるはずだ。
洗練度の低いサイバー攻撃
Nozomi Networks ' Labsチームが行った分析では、攻撃が洗練されていないことが指摘されている。オールズマーにアクセスするのがこれほど簡単なら、米国にある他の5万(文字どおり、5万以上の水道事業体がある)の水道事業体はどうなのだろうか?専門性の低い攻撃者が、マウスを数回クリックするだけで、国民を大量に毒殺するプロセスを開始できるとしたら、中程度あるいは高度な技術を持った攻撃者は何ができるだろうか?私の家族を守るとなると、そのハードルは決して高くはない。しかしこの場合、ハードルは低すぎるように思える。なぜこんなことになってしまったのか?何が間違っていたのか?
現時点で入手可能な情報によれば、この攻撃は、より深刻な反応を引き起こすような巧妙さを欠いているようだ。犯人が水処理作業を監視していた職員にその存在を隠さなかったという事実は、攻撃の複雑性が比較的低いことを示唆する最初のシグナルである。さらに、この事件の報告によると、攻撃者は水酸化ナトリウムのレベルを通常自動化されたシステムによって監視される相当量増加させた。
とはいえ、この事件は、あまりにも多くのICS設備、特にセキュリティが見過ごされがちな小規模で予算も少ない設備の状況を反映しているため、重要である。特にリモートアクセスは、セキュリティを考慮して設計されていない場合、遠隔地の攻撃者がICSネットワークに侵入するための橋頭堡となることが多い。まさにこのケースでは、オールズマーの浄水場がTeamViewerインスタンスを使用しており、インターネットからアクセス可能であったようだ。現段階では、攻撃者がどのようにして必要な認証情報を入手したのかは不明だが、この事件は、我々が近年記録してきた多くの事件と同様、その実行に高度なゼロデイ・エクスプロイトに依存しているようには見えなかった。
Nozomi Networks 研究室
TeamViewerとその他のリモートアクセスツール
COVIDの影響と、その結果生じたサイバーセキュリティを損なうリモートアクセス技術の大量導入については、サイバーセキュリティの分野で詳細に議論されている。他の公益事業や産業と同様に、多くの水道施設では、ウイルスが大流行する中、システムを稼働させ続ける必要性から、多くのオペレータが厳しい現実に直面することになった。
自宅で仕事をするためには、生産管理ネットワークに自宅からアクセスできる必要がある。TeamViewerやその他多くのリモートアクセスアプリケーションが登場した。COVID-19以前は、重要なプロセスコントロールにアクセスするためにこれらのアプリケーションを使用することは、過失と表現されたり、セキュリティを無視して使用されたりしたかもしれません。しかし現在では、パンデミック時にリモートアクセスやモニタリングが必要な正当な理由がある。
プロセスでリードすることでリスクを下げる
このようなリモートアクセスやサプライチェーンのリスクと、不測の将来にわたって付き合っていかなければならないことを理解した上で、リスクの影響を可能な限り減らすにはどうすればいいのだろうか?
まず、(リスクアセスメントの)全体的な趣旨を忘れてはならない。なぜわざわざあるものを保護し、別のものを保護しないのか?ある企業の全目的が水を生産することであるならば、そこから始めなければならない。水はどのように生産されるのか?具体的にどのようなOT プロセスが関係しているのか?そしてそのプロセスにはどのようなリスクがあるのか?プロセスから導けば、あるデバイスが他のデバイスよりも注意を払うに値しないことがわかる。私のiPhoneを守る必要があるのか、それともオペレーションセンターのデジタル制御盤を守る必要があるのか?
オールズマーのような攻撃を軽減するのに役立つのか?
サイバーセキュリティに投資した水道局は、プロセスで使用される重要な機器のあらゆる面を追跡する最先端の資産目録ソフトウェアを調べれば、これらの質問の多くに簡単に答えることができる。残念ながら、多くの自治体は最先端のサイバーセキュリティに予算を割いていない。
資産目録がある施設のうち、多くは独自性の高いオペレーション・テクノロジー機器をうまく扱えないIT製品を使用している。実際、これらの水道局の多くは、その正確な場所のために特別に構築されている。
ネットワークを監視している施設のうち、ネットワーク異常検知を実行している施設はごく一部であり、多くの施設は未知の脅威を発見するためにこの技術に依存している。しかし、オールズマーの攻撃では、攻撃者が公式に許可されたリモートアクセス経路(TeamViewer を使用して、HMI から PLC/DCS にOT パラメータを設定)を活用したため、(ファイアウォールの後ろから)ネットワーク異常は発生しなかった。
攻撃者が地域外から来た可能性もあり、ファイアウォールの観点からは異常を示したかもしれないが、攻撃者が近隣にいた場合、接続は自宅で作業している郡の職員を装った可能性がある。あるいは、攻撃者が個人所有のタブレットのような全く関係のないデバイスに侵入し、工場の管理を担当するリモートワーク・エンジニアが使用していたのと同じWi-Fiネットワークに接続した可能性もある。その後、攻撃者はTeamViewerの認証情報を盗み出し、その認証情報を使って施設にログインし、被害を発生させようとした。
ヒューマンマシンインターフェース(HMI)機能がTeamViewerアクセスと同じマシン上に存在するため、ネットワーク異常は発生しなかった。このシナリオでは、攻撃者はすでにプロセスへの必要なアクセス権を持っていました。偵察活動や横方向の移動は必要なかった。まるで銀行の正面玄関が金庫に直接つながっているようなものだ。残念なことかもしれないが、ネットワーク異常検知技術は、この特定のユースケースを軽減するのに適していない。
もう一つの一般的な努力は、脆弱性を特定し、パッチを当てることによってシステムのハードニングを行うことである。しかし、オールズマーのケースでは、脆弱性は必要なかった(TeamViewer自体を例外とする可能性はあるが、まだ確定していない)。脆弱性を推測することは、堅実なサイバーセキュリティプログラムの重要な部分であり、その重要性が減殺されるべきものではないが、今回の攻撃を防ぐことはできなかっただろう。
プロテクションの最高級品
詳細な資産目録を持つ水製造やその他の重要なインフラ施設のごく一部は、ネットワークに対する攻撃を監視しており、ネットワーク異常検知ソリューションを導入し、運用している。これはプロテクションの最高峰である。このアプローチでは、人工知能を活用して、産業プロセスの制御に使用される実際のパラメーターに対して異常検知を実行する。
例えばポンプ。定格回転数が毎分100回転(RPM)であれば、それ以上の回転数で運転するのは安全ではない。HMIをプログラムしたエンジニアは、危険な状態が存在することを許すべきではなく、ほとんどの場合、オペレータが無効な入力を入力したり、150 RPMで回転するようにポンプにパラメータ値を送信するような安全でない状態を導入したりすることを防ぐでしょう。
プロセスの保護
オールズマーの攻撃は、プロセスの監視と制御に使われるデータの流れの中で起こった。攻撃者は正規のHMIを使用して、水中の水酸化ナトリウムの量を増加させる正規のペイロードを持つ正規のパケットを送信しました。もし、オールズマーの水道施設のOT パラメータに異常検知が適用されていれば、企業内の他の場所で成功した攻撃は、様々な方法を用いて工業プロセスに影響を与えようとした可能性があります。
今日はこの特定のHMIだったかもしれないし、昨日はネットワークに直接パケットを注入したのかもしれない。もしかしたら、工業プロセス内の別のデバイスを使って、有毒な水が住民に届くのを防ぐためにあると広く言及されている自動安全システムを無効にするコマンドを送信しているかもしれない。確かなことを知る唯一の方法は、実際の工業プロセスのタグと値をモニターして、その中に異常がないかどうか調べることだ。オールズマーの攻撃だけでなく、内部関係者の過失や危険など、他の多くのリスクにも対処できるだろう。
オールズマーや他の多くのOT-特有の攻撃には共通点がある。それらはすべてプロセスに影響を与え、プロセスを標的にするために承認された技術インフラを使用した。インフラがターゲットである場合、攻撃はより簡単に検出されるが、インフラがプロセスの攻撃に使用される場合、事態はより複雑になり、脅威を軽減するためにはより高度なツールが必要となる。
幸いなことに、当社のお客様の多くは、このようなシナリオに対処するための非常に優れた設備を備えています。Nozomi Networks ソリューションを活用することで、ほとんど可視化されていない状態から、産業用サイバーセキュリティモニタリングの最高峰に到達することができる。その全行程は、わずか数時間で完了します。
Nozomi Networks 顧客は、包括的な資産インベントリ、ネットワーク異常検知、脆弱性管理、調査用グラフ作成ツール、フォレンジック、レポーティング、リアルタイム・ダッシュボード、およびパートナーとの統合を活用して、オールズマーのような攻撃が発生したときに迅速に特定するだけでなく、施設へのこのような悪質な侵入に対する適切な対応を自動化し、組織化しています。多くの場合、これらの機能は箱から出してすぐに利用でき、設定もほとんど必要ない。
今日はTeamViewer。昨日はSolarWinds。その前の週はランサムウェア5,001号。率直に言おう、リスクは蔓延し、持続している。重要な産業プロセスの完全なエンド・ツー・エンド・モニタリングが目標であり、標準であるべきだ。
関連リンク
- ブログ:(おそらく)アメリカ初の水処理システムへのサイバー侵入
- ブログソーラーウインズのサイバー攻撃:レイヤー化されたOT セキュリティが最高の防御を実現
- ウェブページNozomi Networks 研究室
