米国の電力会社に対するロシアのサイバー攻撃に関する懸念が,今週再び高まっている.ウォール・ストリート・ジャーナル紙(WSJ)は,このような攻撃は先に報道された数十人だけではなく,数百人の被害者に影響を与えていると報じている.
今年3月,米国土安全保障省は,ロシアのサイバー攻撃が米国の重要インフラを標的にしていることを公に報告した.これは,脅威行為者とその戦略的意図を特定した珍しいものであっただけでなく,報告書は攻撃の各段階の説明,侵害の詳細な指標(IOC),および検出と防止対策の長いリストを提供した.この報告書の主な発見と,新技術がどのように役立つかをまとめた記事を以前に書いた.
報告書を公表して以来,DHSは各地の電力会社にこの攻撃について説明してきた.WSJによると,ロシアのサイバー攻撃の範囲が大幅に拡大されたのは,このセッションのひとつだったという.
このニュースは,米国内外の電力会社やそのサプライヤーの役員室や工場フロアに,サイバー攻撃に関する新たな懸念の波をもたらした.この議論に参加している,あるいは参加する可能性のある方々のために,ロシアのサイバー攻撃についてわかっていることと,その意義と影響についての私の考えを以下にまとめました.
重要インフラに対するロシアのサイバー攻撃 - 分かっていること
2018年3月15日,US-CERTは,エネルギーおよびその他の重要インフラ部門に対するロシアのサイバー攻撃に関する勧告を発表した.主な内容は以下の通り:
- 脅威当事者は,スピアフィッシング,改変された業界誌やウェブサイト(水飲み場),一般に入手可能な情報を利用して,信頼できるエネルギー組織のサードパーティ・サプライヤーなどの標的を感染させた.
- その後,ステージング・ターゲットの認証情報は,意図したターゲットに対する スピアフィッシングやその他の攻撃に使用され, 最終的に被害者のネットワークにアクセスした.
- マルウェアは複数のローカル管理者アカウントを確立し,それぞれが特定の目的を持っていた.
- リモートサーバーからツールをダウンロードし,ユーザー認証情報を収集・保存した.
- ICSの偵察段階が続き,産業ネットワークの資産,ネットワークとそのプロセスがどのように機能しているかについての情報を収集した.
- 最後に,脅威者はログを消去し,マルウェアのアプリケーション,レジストリキー,スクリーンキャプチャを削除することで痕跡を隠しました.
この攻撃の感染と偵察の段階は長く,政府の勧告によれば,攻撃は2016年3月に始まり,最初に検出されたのはシマンテックの報告で2017年秋であった.つまり,このような攻撃を検知し,阻止する十分な機会があるということだ.ネットワークを監視する適切なテクノロジーがあれば,脅威行為者が最終的な攻撃まで気づかれずにいることはかなり難しくなる.
ロシアのサイバー攻撃の最終的な目的は,どのような機器を標的にし,どのような混乱を引き起こすかという点では不明である.
WSJの記事は,このような攻撃に対する懸念を強調している:
「彼らはスイッチを投げられるところまで行った」.
ジョナサン・ホーマー,DHS産業制御システム分析主任
サイバー攻撃は2015年と2016年にウクライナで限定的な停電を引き起こしたが,多数の民間プロバイダーが存在するアメリカ全土で実際に停電を引き起こすのははるかに難しい.とはいえ,攻撃者は停電を引き起こすのに必要なツールをすべて持っており,それを阻んでいるのは結果に対する恐怖心だけだと私は考えている.
サイバー攻撃による重要インフラへの被害はかつてないほど容易になっている
今日,産業用システムを攻撃するために必要なスキルは,オープンソースソフトウェア(OSS)ツールの賢い使い方,インターネット上で自由に利用できるICSマルウェアのフレームワークから得た知識,そして悪意ある意図と同じくらいシンプルなものです.過去10年間で,攻撃のためのツールや事例が急増したため,脅威行為者に必要な知識は劇的に減少しました.
例えば,昨年明らかになった画期的な攻撃であるTRITON攻撃について考えてみよう.なぜ画期的なのか?それは,攻撃者が初めてSIS(安全計装システム)コントローラーのプログラミング・ロジックを変更することに成功したからだ.SISシステムは制御ネットワークの自動化された防御の最終ラインであり,プラントのシャットダウンやプロセスの変更を確実に行い,人や環境に危害が及ばないように設計されている.
TRITONマルウェア・フレームワークや,過去2年間に発見された他の多くのマルウェア・フレームワークは,インターネット上で自由に入手できる.探す場所を知っている必要があるかもしれないが,見つけることは不可能ではない.これらのフレームワークは,比較的プログラミングスキルの低い人でも,洗練された攻撃を仕掛けることができる.(TRITONといえば:来月のBlack Hatでは,TRITONの新しい研究と攻撃のライブ・デモンストレーションを紹介する予定だ)
ロシアのサイバー攻撃に話を戻すと,未知の結果や報復のリスクがあるため,まだ停電は起きていないと私は考えている.送電網への攻撃は制御が難しく,間違いなく多くの巻き添え被害をもたらすだろう.この報復のリスクと相まって,攻撃者を遠ざけているのかもしれない.
これは,冷戦時代の相互確証破壊モデルを彷彿とさせる.私たちは今,サイバー冷戦の真っ只中にいるのかもしれない.
重大な産業サイバー脅威の「新常態」に備えよ
攻撃者は変わっても,重要なインフラを確実に守るという目標は変わらない.
今こそ,サイバー・セキュリティプログラムを見直し,基本がカバーされていることを確認する時です.自社のネットワークとその資産を把握する.自社のサイバーセキュリティ態勢をNISTなどのサイバーセキュリティ標準と比較し,継続的に改善する.
WSJの記事は,DHSはロシアが攻撃を自動化している証拠を探しており,それは「ハッキングの取り組みが大幅に増加することを予見している」可能性があるとの記述で締めくくられている.これを受けて,産業脅威の検知を自動化することで,ハッカーに先んじる方法を考え始めることをお勧めする.
私はこれまで,重要インフラの保護に全キャリアを費やしてきました.私は,重要施設に対する攻撃のリスクを軽減する責任を負うセキュリティ・エンジニアとして,最前線に立ってきました.昔も今も,そしてこれからもずっと大変な仕事だ.というのも,WSJが言及しているように,政府当局と重要インフラ組織の透明性と協力のレベルはかつてないほど高まっているからだ.この官民協力は心強いものであり,今後も続いていくことを願っている.
重要インフラに対する高度なサイバー脅威は,今やエネルギーおよび産業事業者にとっての「新常態」の一部となっています.信頼性の高い操業のための「新常態」に,積極的なサイバーセキュリティ対策が含まれていることを確認してください.
