エネルギー省(DOE)、サイバーセキュリティ・インフラ安全保障局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)は、共同サイバーセキュリティ勧告(CSA)を発表し、特定の高度持続的脅威(APT)行為者が産業プロセスを操作し、混乱させる能力を示していることを警告した。これは、複数の監視制御およびデータ収集(SCADA)およびその他の産業制御システム(ICS)に影響を与える:
- シュナイダーエレクトリックのプログラマブルロジックコントローラ(PLC)、
- オムロン シスマックNEX PLCおよび
- Open Platform Communications Unified Architecture(OPC UA)サーバー。
今年初めにこれらの攻撃ツールの分析を開始した当社のパートナー、Mandiantからの情報によると、INCONTROLLERは、ICS環境を悪意を持って操作するために、洗練された国家の脅威行為者によって開発されたと考えられています。現時点では、INCONTROLLERはいかなるインシデントにも、特定の行為者にも結びついていません。INCONTROLLERには新たなICSの脆弱性を悪用するものは含まれていないが、脅威グループに操作機能を提供するために、標的となったコントローラが理解するプロトコルを実装しているようだ。現段階では、INCONTROLLERがどこで取得されたのかは明らかにされていないが、脅威行為者が標的とされた環境を熟知していた可能性は極めて高い。
最新のNozomi Networks Threat Intelligence パッケージには、対応するWindowsベースのINCONTROLLERツール2つを検出するためのYARAルールが含まれている。CISA、Mandiant、Schneider Electricによって記述された技術が適切にカバーされていることを確認するため、さらに調査を進めている。Nozomi Networks 関連するサンプルを詳細に分析した後、追加情報とカバー範囲を提供する予定である。
さらに、企業が保護を強化する方法をいくつか紹介しよう:
- 上記のようなデバイスを運用している環境では、OT 、侵入のインジケーターと異常な動作の両方を即座に探し、まだ導入していない場合はネットワークのセグメンテーションを検討する必要がある。
- リアルタイムのネットワーク可視化、モニタリング、異常検知ツールは、脅威行為者がこれらのデバイスへのリモートアクセスを成功させる可能性を大幅に低減する。
- エンドユーザーがOT ネットワークを可視化できない場合、CSA に記載されているその他の緩和策を最優先とすべきである。例えば、影響を受けるデバイスの隔離、ICS/SCADA パスワードの変更、オフラインバックアップの維持、サイバー攻撃発生時のネットワークセキュリティと回復力を高めるためのインシデントレスポンス計画の実施などである。
Nozomi Networks は引き続き状況を監視し、目にしている最新情報を提供し、OT 業界がネットワークを保護するために使用できる推奨事項を発表する。
