OT/IoT における物理的アクセスとエンドポイント検出の重要性

OT/IoT における物理的アクセスとエンドポイント検出の重要性

今日の脅威の状況において、サイバー攻撃の普及と高度化が進んでいることを考えると、重要な情報資産の機密性、完全性、可用性を維持するためには、サイバー攻撃からネットワークを保護することが不可欠です。OT/IoT セキュリティにとってネットワークベースの検知と監視は極めて重要ですが、それだけでは複数レベルの高度なサイバー攻撃に対する十分な防御を提供することはできません。ホストベースの検知システムを含む包括的なレイヤー防御戦略の導入が不可欠です。これらのシステムは、ネットワークトラフィックでは見えない悪意のある活動を検知することで、企業や組織にさまざまなメリットをもたらします。

Nozomi Networks 最近リリースされた ArcOT/IoT エンドポイントセキュリティセンサー は、マルウェア、不正アプリケーショ ン、不正 USB ドライブ、不審なユーザー・アクティビティを持つ感染ホストの特定など、進行中 の脅威や異常についてより正確な診断をサポートします。また、このレベルの可視化により、ユーザー行動の監視と分析が可能になり、潜在的な内部脅威を大きな問題になる前に特定することができます。

このブログでは、ホストベースの脅威に関する洞察を共有し、サイバー脅威からネットワークを保護するためのエンドポイント検出センサーの重要性を強調し、潜在的なセキュリティ侵害を検出して対応するためにこれらのセンサーがどのように機能するかを説明します。

なぜOT/IoT 向けのエンドポイント検出なのか?

これらのシステムは、発電、石油・ガスパイプライン、水処理、輸送などの物理的プロセスを制御・監視する役割を担っているため、OT およびIoT においてエンドポイント保護は特に重要である。これらのシステムに対するいかなるサイバー攻撃も、重要インフラの混乱、経済的損失、さらには人命の損失など、深刻な結果をもたらす可能性があります。主にデータ処理やストレージを扱うITシステムとは異なり、OT/IoT 、エンドポイントは物理的な設備や機械に依存している。したがって、これらのエンドポイントを保護することは、システムの運用に対する不正アクセスや悪意のある改ざんを防止する上で極めて重要である。さらに、OT/IoT のエンドポイントは、コンピューティング・リソースが限られていることが多く、一般的なITエンドポイントのように定期的なアップデートが行われない場合があります。そのため、サイバー脅威に対してより脆弱であり、OT/IoT 環境ではエンドポイントの保護が最優先事項となります。

Nozomi Arc センサーのプロダクト・マネージャーであるガブリエレ・ウェバー氏は、OT/IoT エンドポイントのセキュリティの重要性を強調する。「テクノロジーの進歩に伴い、ハッカーが不正アクセスに使用する手法も進歩しています。「エンドポイント・セキュリティソリューションは、ネットワーク・モニタリングを補完し、潜在的な脅威を内部から検出してブロックする保護レイヤーを提供することで、こうした攻撃を防ぐのに役立ちます。

物理的なエンドポイントのサイバー脅威の例

攻撃者がシステムにアクセスするための最初のステップの1つは、物理的なアクセスです。攻撃者は、BadUSBデバイスとしても知られる特殊なキーボードやマウスなどのヒューマン・インターフェース・デバイス(HID)を悪用することで、標的のエンドポイントへの物理的なアクセスを得ることができます。これらの偽造HIDは、物理的には正規のものと同じに見えますが、内部コンポーネントが変更されており、標的となるコンピュータに接続されると悪意のあるコードが実行されるようになっています。いったん物理的なアクセスが可能になると、それまでは見えなかったようなシステムのより機密性の高い部分にもアクセスできるようになります。

BadUSBデバイスは、システム設定を変更したり、バックドアを開けたり、機密データを取得したり、物理的なアクセスで実現可能なあらゆることを行うことができます。BadUSBがもたらす脅威には、キーロガーとキーストローク入力という2つの一般的なものがあり、エンドポイントを危険にさらす可能性があります。

キーロガー:キーロガーは、コンピューターやモバイルデバイス上で行われるすべてのキー入力を記録するデバイスの一種です。いったんアクティブになると、キーロガーはユーザーが気づかないうちにバックグラウンドで作動し、すべてのキー入力を記録して保存または送信します。

ハッカーはログイン認証情報などの機密情報を盗むためにキーロガーを使用します。キーロガーは、OT/IoT 、産業環境で使用されるデスクトップ・コンピュータのようなコンピューティング・エンドポイントのログイン認証情報を取得するために利用することができます。これらの認証情報は、その後のキーストローク インジェクション攻撃で使用され、攻撃者はシステム内で昇格した権限を得ることができます。

キーストローク・インジェクション キーストローク・インジェクションは、不正なコマンドやアクションを実行するために、コンピューター・システムにキーストロークを注入するサイバー攻撃の一種です。この場合、BadUSBデバイスはキーボードをエミュレートし、キーストロークを注入するように設計されています。攻撃者は通常、正規のユーザー入力を模倣した一連のキー入力を含むスクリプトをあらかじめBadUSBにプログラムしておく。デバイスがターゲット・システムに接続されると、通常、これらのキー入力を高速でエミュレートし、マルウェアのインストール、機密データの窃取、システムの制御といった悪意のあるコマンドやアクションを実行します。高速実行の目的は、HIDユーザーからスクリプトを隠すことです。

キーインジェクション攻撃は、ファイアウォールやアンチウイルス・ソフトウェアなどの従来のセキュリティ対策をバイパスするため、特に効果的です。さらに、ネットワーク接続を必要としないため、ネットワーク監視ツールによる検知が困難です。

両者は似ているかもしれないが、キーストローク・インジェクションは、システム上で不正なコマンドやアクションを実行することを目的とした能動的な攻撃であり、キーロギングは、ユーザーの活動を監視し、機密情報を盗むために使用される受動的なテクニックである。

Nozomi Networks研究

USB デバイスは、マルウェアをシステムに侵入させるために使用される可能性があるため、OT/IoT 。多くの場合、USBデバイスは異なるシステム間でデータを転送したり、ICSデバイスのファームウェアを更新したりするために使用されます。しかし、USBデバイスがマルウェアに感染すると、ネットワーク全体に容易に拡散し、重要なシステムを危険にさらす可能性がある。産業事業者が直面している現在の課題は、この種のサプライチェーン侵害にさらされる可能性のある重要デバイス内部の可視性が限られていることです。

この課題に対処するため、Nozomi Networks Labsは、この問題に対するさらなる洞察を得るために、最先端のサイバーセキュリティ研究プロジェクトに取り組んできました。ターゲット・マシンに接続されると悪意のあるペイロードを実行する危険なBadUSBデバイスを構築することで、この研究プロジェクトは、BadUSB攻撃やその他の悪意のある活動からOT/IoT エンドポイントを保護するセンサーの開発方法に関する洞察を提供しました。

以下は、調査結果のハイライトである:

- 私たちは、タイピング速度、キーストローク、ブラックリストまたはホワイトリストに登録された単語や文章などの要因を考慮し、USBトラフィックを徹底的に分析した;

- この調査で観察されたパターンは、合法的なものと悪意のあるものに分類された;

- 私たちは、人工的なタイピング・トラフィックと正当な人間のタイピング・トラフィックを比較することで、OT/IoT 、エンドポイント上のキー入力インジェクションを検出できるように、Arc センサーの機能を開発しました;

- 我々は、Arc センサーを使用してトラフィックを処理し、MITRE フレームワークに基づいて検出を適用した;

- 最後に、USBバックドア攻撃の完全に機能するデモを作成し、当社のArc ・センサーがホスト・レベルでどのように悪意のある活動を識別できるかを紹介しました(図1参照)。

   

悪意のあるUSB HIDの検出
図1.悪意のあるUSB HIDの検出

Nozomi Networks Arc センサーは、当社のラボチームによる綿密な研究により、PCからは合法的に見える悪意のあるデバイスを検出することができます。例えば、タイピングレートをチェックして、人間がタイピングするには高すぎるかどうかを判断することができます。技術的な詳細については、HIDにおけるハードウェアサプライチェーンの侵害に関するブログをお読みください。

ホストベース検出の利点OT

OT/IoT の最大の問題のひとつは、多くのデバイスが潜在的な脅威をすべて検出する能力を持たないことである。しかし、この種のシステムでは、ネットワークの可視性をエンドポイントの可視性で補完することが可能であり、エンドポイントからそれを生成したアプリケーションやサービスまでデータをトレースすることで、悪意のあるアクティビティのソースと場所を正確に特定することができる。このレベルの可視性により、組織は脅威を迅速に特定して対応することができ、サイバーセキュリティに対するより積極的なアプローチが可能になる。

Arc また、複数のマシンやデバイスを同時に監視することも可能で、不審な動きがあれば迅速に特定し、対処することができる。さらに、この拡張性により、threat intelligence の収集能力が向上し、組織が潜在的な攻撃に先んじることができる。

結論

OT 、IoT エンドポイントを標的とする脅威者の手口はますます巧妙になっており、これらの脅威から保護するための強固なセキュリティ対策の導入が組織にとって不可欠となっています。攻撃ベクトルは、フィッシングメールから感染したBadUSBデバイスまで、さまざまなソースからもたらされる可能性があります。組織にとっては、潜在的な脅威が被害をもたらす前に、警戒して積極的に特定することが重要です。これには、ファイアウォールや侵入検知システムなどの技術的ソリューションの導入だけでなく、従業員の行動や物理的なアクセス制御に関する強力なポリシーの策定も含まれます。

OT およびIoT のエンドポイントを保護するには、技術的ソリューションと人間の行動の両方を考慮した多面的なアプローチが必要です。しかし、適切な戦略を導入することで、組織はこれらの重要なシステムを標的にしたサイバー攻撃の被害に遭うリスクを低減することができます。