本日、Nozomi Networks Labs は、OT/IoT 過去 6 ヶ月間に発生した公開サイバーセキュリティインシデントの傾向分析と、Nozomi Networks デプロイメントからの実環境テレメトリデータを掲載した新しいセキュリティ調査レポートを発表しました。本レポートは、ICSの脆弱性、IoT ハニーポットからのデータ、OT 環境からの攻撃統計に基づく発見に焦点を当てています。このブログでは、レポート全体のスナップショットを紹介する。
脅威の動向
OT/IoT サイバーインシデントには、主に日和見型、標的型、偶発的の3つのカテゴリーがある。過去6カ月間に公表された攻撃を検証したところ、日和見的な攻撃が依然として最も多く、DDOSの試みによるトラフィックの氾濫、初期アクセスのための一般的な弱点や脆弱性の列挙、ネットワーク・ドメインやターゲット・システムに関係なくマルウェアの系統を試行錯誤していることがわかった。
標的型攻撃は、よく調査された特定の被害者組織、場所、またはその両方に対して、搾取を仕立てることを続けている。 最後に、偶発的な影響-人為的なミスや、攻撃範囲を逸脱してOT やIoT に影響を与える-は、常に公に報告されるわけではないが、依然としてかなり一般的であり、相互運用性が組織のミッションやビジネス上の意思決定を推進し続けるにつれて、よりコストがかかるようになる。
今年に入ってから、私たちは、いくつかのタイプの脅威アクターによる注目度の高いサイバー活動を見続けてきた。これらのテクニックは、簡単にアクセスでき、検知を回避することができ、適応性が高く、自動化をサポートしています。
特に、製造業、エネルギー、医療、上下水道部門が影響を受けており、政府や都市のサービスも混乱している。ランサムウェアに加えて、分散型サービス拒否(DDoS)攻撃や、2016年のMiraiボットネットの新しい亜種も出現した。この期間に発生したインシデントのうち少なくとも3件では、産業制御システムが直接影響を受けた。
米国の国家サイバーセキュリティ戦略とそれに続く実施計画、欧州連合のNIS 2指令、オーストラリアの重要インフラ安全保障法など、世界各国の政府も今年上半期、国家レベルでのサイバーセキュリティ法制と重要インフラ政策の強化に取り組んできた。
OT/IoT 実際の導入事例から得られた知見
世界中の様々なユースケースと業界をカバーするOT とIoT 環境から収集された遠隔測定データに基づき、水処理施設における大量のネットワーク・スキャンの兆候、建材業界全体にわたる平文パスワード警告、産業機械におけるプログラム転送アクティビティ、石油・ガス・ネットワークにおけるOT プロトコル・パケット注入の試みなどを追跡し続けています。
全体として、認証とパスワードの不衛生に関連する活動が、2期連続で重大な警告のトップとなりました。マルウェアに特化すると、サービス拒否(DOS)活動は、依然としてOT システムに対する最も一般的な攻撃の1つです。これに続くのが、侵害されたマシンの制御を確立するために攻撃者が一般的に使用するリモートアクセス・トロイの木馬(RAT)カテゴリです。分散型サービス拒否(DDoS)の脅威は、IoT のネットワーク・ドメインにおけるトップの脅威です。悪意のあるIoT ボットネットは、今年も引き続き活発であり、脅威者は、連鎖したIoT デバイスにアクセスしようとする際に、デフォルトの認証情報を引き続き使用しています。
「トロイの木馬」と「二重使用」は、OT およびIOT 環境で最も一般的に検出されるアラートの一部です。「ランサムウェア」は、Enterprise/IT のドメイン間で頻繁に認識されるマルウェアのカテゴリで あり続け、世界中で通常の業務に大きな損害を与えています。クロスドメインマルウェアを分析すると、「フィッシング」アラートは、複数のドメインに該当する最も一般的な脅威活動であり、一般的に機密情報の窃取や初期アクセスの確立に使用され、時にはマルウェアを展開して標的を感染させます。
最も多く発生した顧客のアラートは、業界によって異なります。水処理施設では、一般的に認可されたスキャンや脅威行為者のプロービングに関連する一般的なネットワークスキャンアラートの件数が多かった一方で、石油・ガス業界の顧客は、OT プロトコルパケットインジェクションに関連するアラートを経験する傾向がありました。OT プロトコルパケットインジェクションは、正しいプロトコルメッセージが誤ったシーケンスで送信されるなど、誤ったコンテキストで正しいプロトコルパケットがインジェクションされることを含みます。全体として、クレデンシャル管理の不備、平文パスワードの特定、TCPフラッドアラートなど、多くのセクターで同様の共通アラートタイプが見られます。
ICSの脆弱性は依然として高い
CISA および米国国家脆弱性データベースによって報告され、カタログ化されているように、OT/ICS マシンおよびデバイスには、既知の脆弱性が引き続き数千件存在します。脅威行為者は、世界中のエンタープライズ/IT、OT 、IoT ネットワークを積極的に調査し続けており、その能力と強化された TTP の洗練度を高めています。彼らは、ネットワーク通信、ハードウェア、ソフトウェア、サプライチェーンへの侵入、ベンダーのアクセスと管理など、新たなアクセスポイントを探し続けています。IT 攻撃がOT のシステムに及ばない場合でも、OT のネットワークやプロセスが、信頼するようになった IT システムへの攻撃によって阻害されることがあまりにも多い。
同レポートによると、2023年現在までにOT 、IoT デバイスで発見された脆弱性の数は依然として多く、その多くはクリティカルおよび/または容易に悪用可能と考えられている。製造業、エネルギー、上下水道は依然として最も脆弱な業種である。食品・農業と化学は、前回の6カ月報告期間中に最も脆弱なセクター上位5位に入っていた運輸とヘルスケアに代わって上位5位に入った。2023年上半期
- CISAは641の共通脆弱性・暴露(CVE)を公表した。
- 62社が影響を受けた
- 境界外読込みと境界外書込みの脆弱性が引き続き上位CWEにランクイン - どちらもバッファオーバーフロー攻撃を含む複数の異なる攻撃の影響を受けやすい
IoT ハニーポットからのデータ
Nozomi Networks分散型IoT ハニーポットでは、毎日数百から数千のユニークな攻撃者のIPアドレスが目撃されている。認証情報を盗んだ後に使用されるコマンドのいくつかは一般的なもので、正しいシェルや管理端末にアクセスするために使用されるコマンドである。また、攻撃者が "信頼できる鍵 "のリストに追加しているハードコードされた公開SSH鍵など、非常に興味深いものもある。信頼できる鍵は永続的なアクセスを維持するために使われ、後で侵害されたマシンにSSHで接続する方法を提供する。
2023年1月から6月にかけて、Nozomi Networks ハニーポットが発見された:
- 1日平均813件のユニークアタック - 5月1日に1,342件を記録。
- トップ攻撃者のIPアドレスは、中国、米国、韓国、台湾、インドに関連するものであった。
- ブルートフォースの試みは、依然としてシステムアクセスを得るための一般的な手法です。IoT
結論
脅威行為者は、金銭的利益または生産された混乱という点で、その努力に対する最大のROIを追求し続けている。OT とIoT の脅威活動は、ダウンタイムをほとんど許容しないプロセスのオーナーやオペレーターにとって明確なリスクである一方、機会的な攻撃は続いている。テクノロジーへの依存の高まりが内在するリスクに直面する世界では、自動化レベルの向上と機械学習および人工知能機能の採用が、サイバー擁護者だけでなく敵対者の注意を引いている。
Nozomi Networks ラボは、産業および重要インフラのセキュリティにおける脅威の進化を継続的に追跡しています。本レポートの全文をお読みいただき、2023年の残り半期で注目すべき点について、以下の内容をご確認ください:
- OT 、IoT 機器に多数の脆弱性が発見され、いくつかの脆弱性は致命的であり、容易に悪用可能である。
- 医療、エネルギー、製造業は、ランサムウェアが組織を悩ませ続けている中、脅威行為者によって非常に狙われやすいセクターであり続けている。
- サイバーセキュリティの擁護者だけでなく、脅威行為者を支援するために使用される生成AIモデル
- 機会的攻撃:脆弱性の悪用、認証情報の悪用、フィッシングによる初期アクセス、DDOSの試み、トロイの木馬の実行。
