2000年に発生したマルーチー事件は、悪意のあるインサイダーが重要なインフラストラクチャに対してサイバー攻撃を成功させたことが確認された最初の事例です。これは、オーストラリアのマルーチーシャイアにある水処理プラントの元下請業者が関与した事件で、この人物は同プラントの下水ポンプの制御システムを設置していました。彼は職場で不満を抱くようになっていました。そして、自分の認証が一度も無効化されていないことに気づき、遠隔操作で工場のコンピューターシステムに侵入し、ポンプを故意に誤作動させました。その結果、100万リットルの未処理下水が地域の公園や河川に流出しました。
これが、外国の国家による行為として想定される、重要なインフラに対するサイバー攻撃の一例です。しかし、インサイダー脅威のさまざまな側面を理解し始めると、より身近なところで起こっていることにも注意を払うべきだと考えるようになります。
インサイダー脅威とは何か?
内部脅威には、現職または元職員、請負業者、ベンダー、またはシステムに合法的にアクセスできるその他の個人が関与し、必ずしも意図的でないにせよ、セキュリティ・インシデントを引き起こします。このような個人は、通常、対象となるシステムの仕組み、環境の操作方法、貴重なデータやコントロールへのアクセス方法を知っています。インサイダーの脅威を検知し、軽減することが非常に困難なのは、このような内部知識によるものです。
インサイダー脅威には 3つのタイプがあります。
1. 悪意がある
アクセス権限や知識を悪用して損害や混乱を引き起こすような、異常な、予期せぬ、または許可されていない行動は、しばしば個人的な利益や復讐心をきっかけに発生しています。2023年、テスラの元従業員 2名が、75,000人以上の従業員および元従業員の個人識別情報 (PII) を含む 100GBのデータを流出させました。
2. 妥協
インサイダーが、フィッシングやソーシャルエンジニアリングによって操られ、知らず知らずに認証情報を盗み、外部攻撃に利用されたケースもあります。2013年のクリスマス商戦の時期、ある小売大手企業のベンダーアカウントが侵害され、4,000万人の顧客の決済カードのデータが第三者契約者によって窃取されました。この企業は、47の州とコロンビア特別区に対して 1,850万ドルの賠償金を支払うことになりました。
3. 過失
不注意、注意散漫、または急いでいる行動が、意図せず損害を引き起こしたり、組織を外部からの攻撃にさらしたりすること。2021年、フロリダ州のオルズマー水処理プラントで水酸化ナトリウムのレベルが急上昇した事件は、当初は高度なサイバー攻撃のように見えました。しかし、後に、リモートアクセス中の従業員が誤って間違ったボタンをクリックしたことが原因であることが判明しました。
マルーチーとオールドスマーの事件は、比較的まれなケースではあるものの、産業環境におけるインサイダー脅威のリスクはより高いことを示しています。より大規模な攻撃の第一段階となり得るデータ侵害による被害ではなく、加害者は実際に物理的な被害を引き起こす可能性があり、そして実際に被害を引き起こしました。
タイプ別インサイダー脅威発生の頻度
インサイダー脅威について考えるとき、私たちは悪意に基づく行為を心配しがちです。しかし、2022年の Proofpoint/Ponemon の報告書によると、悪意のあるインサイダーが最大の課題というわけではありません。悪意のあるインサイダーによるインシデントは、インサイダーによるインシデント全体のわずか 4分の 1 (26%) です。それに対して、従業員や契約社員の不注意によるインシデントは半数以上 (56%) を占めています。不正アクセスされたインサイダー (17%) は、資格情報の盗難の被害者であり、これはおそらくサイバーセキュリティ意識向上トレーニングの不足が原因であると考えられます。
悪意のあるインサイダー脅威の発生率は、それほど多くはないかもしれませんが、最も発見しやすいものです。アクセス制限されたシステムへの複数のリモートアクセス試行などの行動は、過失によるエラーよりも容易に検知できます。また、ソフトウェアのインストール、ファイル転送、大容量のダウンロード、データ流出など、変則的な時間帯に変則的な場所で行われる明白な活動も同様です。
ICS 環境におけるインサイダーの脅威:より重大なインパクト、より深刻な被害
ここでは、産業分野におけるインサイダー脅威とはどのようなもので、IT に焦点を当てたインサイダー脅威とどのように異なるのかを説明します。
人と多孔質の風景
特に工場の現場は、従業員や請負業者、ベンダーの技術者たちが頻繁にシフトを入れ替えながら出入りする、混沌とした騒々しい環境だ。見慣れない顔が普通であり、バッジさえあれば溶け込める。バッジが一度も無効化されていなければ、誰もあなたを止めることはできないだろう。
物理的影響とデータ漏洩
企業秘密や個人情報を含む専有データが盗まれた場合、多大な損害が発生し、企業の評判が低下する可能性があります。ICS環境に対する内部の脅威は、安全性に影響を及ぼし、生産停止時間を引き起こし、機器や環境に損害を与える可能性がある。対応までの時間がより重要になります。
既知の脆弱性
内部関係者は、不十分な監視やセグメント化など、重要なインフラの脆弱性に関する知識を持っている可能性があり、PLC、SCADA、その他の機密性の高い制御システムへのアクセス権限を持っている可能性があります。
簡単なクレデンシャル窃取
OTデバイスでは、デフォルトの認証情報が一般的であり、共有認証情報も同様です。ローリングおよび再利用ポリシーがほとんど実施されていないためです。
エンドポイントのセキュリティがなければ、誰がいつ接続し、何をしているのかを、そのコマンドがネットワーク上で実行されるまで知る方法はありません。これは OT では常に課題となってきました。
OT インサイダーの脅威を検知するエンドポイント・セキュリティ・センサーの事例
手遅れになる前に内部脅威を検出するには、ユーザーの活動をイベントと関連付けることができるエンドポイントセキュリティエージェントを使用して、インサイダーの行動をリアルタイムで監視する必要があります。エンドポイントセキュリティがなければ、誰がいつ接続し、何をしているのかを、そのコマンドがネットワーク上で実行されるまで知る方法はありません。これは OT では常に課題となってきました。受動的なネットワーク監視、リモートコレクタ、さらには間欠的なポーリングは、ワークステーションと PLC 間の通信を検出するには優れていますが、誰がマシンを使用しているのかを検出することはできません。
IT ベースのエンドポイントエージェントを ICS 環境に導入しようとする試みは、効果がないものから有害なものまで様々であり、安全なサイバーセキュリティツールに対するオペレーターの不信感を煽っています。IT エージェントが ICS で機能しないのには 3つの理由があります。それは、IT エージェントが重く、混乱を招くこと、誤った (IT) 脅威を検出すること、そして誤検知をすることです。この最後の欠陥は深刻な結果をもたらします。IT エンドポイントエージェントは、OT 環境でのトレーニングを受けていないため、安全なプロトコルや制御システムコマンドなど、脅威ではないものを脅威と誤認してしまいます。その結果、エンジニアリングハードウェアが応答しなくなったり、プロセスが停止したり、マルウェアと認識された重要なアプリケーションが削除されたりする可能性があります。
エンドポイントセンサー技術は、ついに産業環境のニーズに応えるまでに進化しました。2023年にリリースされたNozomi Arcをはじめとする安全で非破壊的なエージェントは、OT デバイス専用に開発されています。すべてのデバイスにインストールする必要はありませんが、エンジニアリング用ワークステーション、HMI、厳選された ICS ハードウェアなど、攻撃対象となる資産上で人間が操作するデバイスには導入すべきでしょう。
OT エンドポイントセンサーの最適な使用例として、以下の 4つの内部脅威シナリオが含まれます。
1.感染したサードパーティ製ノート PC
SIer が PLC のメンテナンスを行っているとき、接続したノート PC がマルウェアに感染していることに気づかなかった
2.オペレーターエラー
新しく採用されたエンジニアが、誤って HMI コンフィギュレーションを変更したり、無意味なコマンドを発行してしまった
3.悪意のある内部の脅威
不満のある従業員が、HMI の設定値を故意に変更した
4. ID/パスワードを盗まれた
アラートが、権限を与えられた人物が、3,000マイル離れたタイムゾーンにあるふたつの場所に同時にログインしていることを示している
ICS におけるインサイダー脅威に対するエンドtoエンドのセキュリティ戦略
インサイダー脅威に対する防御戦略は、一般的な OT サイバーセキュリティ戦略とよく似ており、多層防御が常に最善策ですが、内部脅威、特に悪意のないものを検出するための効果がある手段はいくつかあります。
通常、防御は物理的なアクセス制御から始まり、ID カードが一般的なバリアとなります。しかし、ここでいうインサイダーは、定義上、全員が ID カードを所持しています。さらに、すでに述べたように、産業環境では、顔見知りではない外注業者、ベンダー、その他の外部関係者も全員が ID カードを所持しています。したがって、ID カードの効果は大幅に割り引いて考えるか、あるいは単に、あまりガードにはならないと認める必要があります。
デジタルアクセスとクレデンシャル
物理的なアクセス管理が不十分な場合、防御の第一線はデジタルアクセス管理となります。 ベンダーや請負業者が、他の機能に関連する、より安全性の低いリモートアクセスツールの使用を主張する可能性があるため、役割ベースの最小権限アクセス管理を厳格に実施する必要があります。 このハードルを克服するには、彼ら自身のセキュリティ強化を要求することが必要になるかもしれません。
デフォルトのメーカー認証情報や共有認証情報の使用を制限することも、ICS セキュリティチームにとって明確な機会です。また、従業員、請負業者、ベンダーがもはや関与していない場合は、認証情報を速やかに無効化することも重要です。最後に、全社的なセキュリティ意識向上トレーニングは、注意力が散漫な内部関係者を狙ったフィッシング攻撃による認証情報の盗難を防止するのに役立ちます。
ネットワークモニタリング
リアルタイムのICSネットワーク モニタリングと脅威検知は、今日、重要な課題となっており、OT セキュリティ戦略全体における基盤的な可視性を提供します。しかし、内部脅威を検出するには、エンドポイントを監視せずにネットワークを監視するだけでは不十分です。OT ネットワークとエンドポイントを並行して監視するサイロ型では、必要なリアルタイム相関分析は得られません。OT ネットワークとエンドポイントは、リアルタイムで連携して、多重防御を提供する必要があります。相関分析に 30分から 60分かかる SIEM に収集データを集めるのを待っていては、間に合いません。内部脅威による被害を防ぐには、この時間は長すぎます。
OT エンドポイントモニタリング
繰り返しになるが、エンドポイントモニタリングは、手遅れになる前に内部脅威の活動を検出するために不可欠です。産業環境にとって重要なことは、エージェントが OT デバイス専用に構築されている必要があるということです。つまり、軽量で産業用プロトコルを読み取ることができ、お客様の環境でトレーニングを受け、ベースラインを認識できるなどです。
ネットワークセグメンテーション
パッチを適用できない OT デバイスの数を考えると、産業環境におけるセグメント化は、今や必須の対策であるべき主要な補償制御です。残念ながら、ICS ネットワークは、多くの脅威が発生する OT ネットワークと IT ネットワークの間でさえ、セグメント化が不十分であることがよくあります。また、ポリシーが設計通りに機能していることを確認するために、セグメント化を含めたネットワーク・トラフィックを可視化できることも必要です。
行動分析学
標準的なシグネチャベースの脅威検出技術では、既知のシグネチャのデータベース、または既知の悪意のある活動に関連するデータ列と、受信データを比較します。 しかし、この手法は内部脅威の検出には役立ちません。 代わりに、AI 駆動の行動分析により、ベースラインからの異常を検出する必要があります。この場合、異常な、疑わしい、または悪意のある内部活動です。Nozomi Networks のネットワーク、エンドポイント、ワイヤレス、リモートセンサーはすべて、高度な機械学習を利用して、各 ICS に固有のプロセスとセキュリティプロファイルを開発し、正常な通信のベースラインを作成します。そして、ベースラインからの逸脱を常に監視し、良性の動作に関するアラートをフィルタリングすることで、未知の脅威を検出します。その結果、サイバー攻撃と重要なプロセスの異常を迅速に検出することができます。
インシデントレスポンス計画
多くの情報セキュリティチームは、IT における内部脅威に対する堅固なインシデント対応計画を策定しています。おそらく、自動化された対応に重点を置いた計画です。OT インシデントが物理的な影響を及ぼす可能性を考慮すると、特定の機器やプロセス制御に関わる内部侵害を迅速に特定し封じ込めるために、人間の動きに密接に連携している OT に特化した計画を策定する必要があります。悪意のある従業員や請負業者が PLC や HMI を侵害した場合、どのような計画があるでしょうか?それは PLC、HMI、および制御プロセスによって異なります。
産業界のインサイダー脅威に光を当てる
前述の 2022年の Ponemon レポートでは、ひとつ以上の内部脅威を経験した 278社のグローバル組織を調査しました。 これには、民間企業と公共機関の両方が含まれていますが、それ以上の詳細な分類はされていません。 重要なインフラストラクチャや産業環境における内部脅威に特化したデータはほとんどありません。 インシデントは過少報告されているか、まったく検出されておらず、研究も十分に行われていません。
一般的に、問題を認めることが問題解決の第一歩であると言われています。 まれに報告されるマルーチー事件を除いて、産業環境において内部脅威が問題となっているのか、また、もしそうであればどの程度の規模の問題なのかはわかっていません。 しかし、そのような事件が起こっていることはわかっています。 もし、このような事件について話し合い、緩和策を共有し始めれば、来年にはより深い洞察とより優れた防御策が得られるかもしれません。
