この記事は2019年9月12日に更新されました。
オープン・ソース・ソフトウェア(OSS)ツールの使用と悪意のある意図の組み合わせだけで、重要なインフラへの混乱や損害が起こりうることを考えると不安になる。幸いなことに、同じツールが世界中のICSセキュリティ研究者によって産業制御システムのサイバーセキュリティを高めるために使用されている。
SC Magazineが最近発表した記事「攻撃者はOSSツールで重要インフラ内の脆弱性を簡単に見つけることができる」の中で、Nozomi Networks CTOのモレノ・カルロは、重要インフラの脆弱性を見つけてシャットダウンするためにセキュリティ研究者が行っていることを取り上げている。
オープンソースソフトウェアはICSサイバーセキュリティ問題にどう貢献するか?
オープンソースソフトウェアはあらゆるところで使われている。ソフトウェア・ベンダーのブラック・ダックが最近発表したレポートには、目を引く統計がある:
- 調査監査中にスキャンされたアプリケーションの96%にオープンソースコンポーネントが含まれていた。
- 調査したコードベースの78%に少なくとも1つの脆弱性があった。
- コードベースの脆弱性の平均件数は64件であった。
オープンソース・コードは非常に普及しているため、攻撃者は1つのハッキングを多くのターゲットに利用することができる。実際、ブラック・ダックは、オープンソース関連の脆弱性に基づくサイバー攻撃は、昨年だけで20%増加すると予測している。
攻撃者はOSSツールで重要インフラ内の脆弱性を簡単に見つけることができる」という記事の中で、モレノは産業制御システム(ICS)の脆弱性の他の根本的な原因について、以下のように論じている:
- OT システムにはICSセキュリティが組み込まれていない
- 産業用プロトコルは、完全性と機密性を提供するようには設計されていない。
また、世界中のICSセキュリティ研究者がOSSツールを活用して、どのように安全でない慣行や脆弱性を発見し、暗号化通信やネットワークの可視化、セグメンテーション、モニタリングによってドアを閉じているかについても説明している。
例えば、Nozomi Networks の研究者は最近、OSSを使ってセキュリティ・テストとファジング・ツールを作成した。このツールは、PLCやリモート・ターミナル・ユニット(RTU)などのICSデバイスが使用する独自プロトコルの脆弱性を自動的に発見するように設計されている。
Nozomi Networks チームは、OSSベースのツールだけを使用して、複数のベンダーのPLC内の複数のゼロデイ脆弱性を迅速に特定した。このツールは、各デバイスに少なくとも 1 つの脆弱性を発見し、いくつかのデバイスの管理ソフトウェアに関連する問題も発見した。
産業サイバーセキュリティ問題解決のための責任分担
重要インフラを安全にする責任は、デバイスベンダーや重要インフラ事業者から、ICSサイバーセキュリティの研究者やソリューションプロバイダーに至るまで、私たち全員にあります。
規制機関は急速にガイドラインを策定し、脅威を減らすための目標を設定している。最近、米国商務省と国土安全保障省(DHS)による報告書は、IoT コンポーネントとソフトウエアのセキュリティ機能を向上させるために、デバイスメーカーとソフトウエアプロバイダが必要であることを強調した。同報告書は、IoT の耐障害性を強化する効果的なツールは存在するものの、まだ広く利用されていないと指摘した。具体的には、IoT 機器に既知のセキュ リティ上の欠陥がある状態で出荷しないこと、また、脆弱性が発見された場合にパッチを適用するための更新メカニズムを機器に含めることを推奨している。
産業インフラ市場は、OT サイバーセキュリティリスクに対処するために正しい方向に進んでいるが、すべてのギャップを埋めるには時間がかかる。幸いなことに、重要インフラ事業者は、ICS-CERTアラート、マルウェア研究、緩和策概要、Nozomi Networks ' 新しい研究論文 - TRITON: The First ICS Cyber Attack on Safety Instrument Systems -Understanding the Malware Its Communications and ItsOT Payloadなどの既知の脆弱性に関する実用的な情報やデータにアクセスすることができます。さらに、Nozomi Networks Guardian のような効果的なソリューションを利用することで、産業用制御ネットワークにリアルタイムでOT サイバーセキュリティとICS運用の可視性を提供することができます。
