思い浮かべてほしい。2月の寒い金曜日の午後。インディアナ州のどこかでは、あるICSシステムインテグレーターが、工場の遅れに起因する現場受入試験(SAT)のキックオフの遅れにすでに苛立っている。彼をトニーと呼ぼう。トニーは昨年、新しい分散制御システムのために400万ドルの調達を承認された。SATは1月1日に始まったが、彼はキャビネット設置のためのラックルーム仕様に関するベンダーからの最新情報をずっと待っている。
午後3時ごろ、トニーの電話が鳴った。「ついに来たか」と彼は思った。DCSベンダーのソフトウェア・エンジニアリング・チームだという自信に満ちた女性が彼を迎えた。彼女はジェニファーと名乗った。後ろで犬が吠えている。トニーは武装解除した。受賞歴のあるドッグショーの愛好家である彼は、ジェンの飼っている犬の種類を尋ねずにはいられなかった。「ああ、ブリタニーの子犬を飼ったばかりなの!ハイブリッド・スケジュールでよかったわ!トイレのしつけも順調よ!"
自動化技術やデジタル情報技術が不注意にサイバーリスクにサイバーフィジカルプロセスをさらす場合、ソーシャルエンジニアリングは制御システムや産業プロセスに影響を与えようとする試みの結果を変えることができる。
セットアップ
トニーは餌を食べる。「素晴らしい犬種だね!ショードッグなの?私、暇さえあれば全国でドッグショーやってるんですよ!」。トニーが聞いたと思った犬は、もちろんジェンと一緒ではなく、ありふれたYouTubeのドッグショーの動画だった。「ショーには何度か行ったけど、まだ決めてないの。
ジェンは切り出した。ジョン・リチャーズ(プロジェクトのフィールドサービスエンジニア)が、この番号で連絡が取れると言っていた。トニーはメッセージを受け取ったことを確認する。ジェンは、トニーの会社が新しいDCSのSATに使用しているバージョン22に影響するソフトウェアの問題に取り組んでいることを説明する。彼女はトニーに、ファームウェアのアップデートが完了し、その詳細をトニーにメールで送ったところだと伝える。トニーは、アップデートの詳細と、彼のラウアHMIに付属していたソフトウェア・パッケージでそれをインストールする方法について、電子メールのリンクのプロンプトに従うだけでよい。
もちろん、このリンクは悪意のあるもので、メーカーのウェブサイトを詐称し、トニーのコンピュータとネットワークに感染させる。もし彼がアップデートプロセスを実行すれば、提供されたコードが彼のOPCサーバーを破壊するだろう。彼はSATについてツイートしており、会社の求人情報にはDCSベンダーの仕様が詳しく書かれていた。彼のFacebookアカウントにはドッグショーの写真が貼られ、LinkedInでは電話番号が公開されている。
インパクト
あなたのプロセスが動いているかどうかを尋ねるために、それを確認しに行くべきだと言うためだけに電話をかけてくる人はいないが、意欲的な犯罪者は常にセキュリティ管理を回避して、その限界を試している。最近、ネバダ州ラスベガスのMGMカジノで起きたサイバーセキュリティ事件は、仕組まれた攻撃と非常に単純な電話の結果として、大惨事になりかねないシナリオを示している。上記のシナリオはありそうにないかもしれないが、不可能に近い。
Dark Readingによると、「報告によると、ハッカーはLinkedInでMGMの従業員のデータを十分に見つけ、ヘルプデスクに電話をかけてその従業員になりすまし、MGMのITヘルプデスクにその従業員のサインイン認証情報を取得するよう説得するのに十分な知識を身につけた」という。適切なサイバーセキュリティの設計とテストなしに新しいシステムを導入するリスクは今に始まったことではないが、進歩するソーシャルエンジニアリングのテクニックと組み合わさると、大惨事になりかねない。
SMSフィッシング、偽の電話、なりすまし、ビデオフィッシングは、組織を標的とした、考え抜かれた、多段階の攻撃で展開される、ますます洗練された手口です。ソーシャルエンジニアリング攻撃のターゲットの偵察には数カ月を要することがありますが、マルウェアのペイロードとなりすまし資産のコード開発は同時に行われ、ターゲット組織への直接攻撃は数分で完了します。
人工知能はこのリスクを悪化させており、ICSの所有者やオペレーターはその分析と対策を始めたばかりである。Axiosが報じたように、AIはダークウェブのデータにアクセスして分析したり、電子メールを書いたり、電話の声をコピーしてなりすましたりするソーシャルエンジニアリングに導入されている。彼らは、2021年11月から2022年10月の間に、データ侵害の74%が "エラー、特権の悪用、ソーシャルエンジニアリング、または盗んだ認証情報の使用による人的要素 "に関与していると報告している。
次に起こること
産業プロセスのオペレーター、技術者、エンジニアは、自分たちの会社やプロセスは、例えばソーシャルメディアのようなビッグデータプラットフォームに関連するようなソーシャルエンジニアリング攻撃の対象にはならないと思い込んでいるかもしれません。上記のシナリオで示されているように、「一般に入手可能なツールや正規のソフトウェアと、アンダーグラウンド・フォーラムで購入可能なマルウェアを組み合わせたもの」に依存しているグループが見られます。Mandiantは、ソーシャルエンジニアリングとその他のサイバー攻撃戦術を組み合わせたUNC3944のようなグループに関連する具体的なTTPを詳述しています。
ソーシャルエンジニアリングと、より一般的な攻撃手法は重なり続けているが、この傾向は、ダウンタイムをほとんど許容しない事業運営や、ジャストインタイムの製造ビジネスモデルを持つ事業運営を標的にすることで、儲かることが証明された時期にも発生している。ランサムウェアや同様の破壊的な攻撃は、製造業、小売業、ヘルスケア、食品・飲料、製薬、エネルギー、水など、今年成功を収めた数多くの企業に影響を与えている。
ソーシャルエンジニアリングの被害者となる可能性のある人に対する一貫したアドバイスとしては、電子メールによる接触、オファー、リンクへの注意、多要素認証、魅力的なオファーや緊急オファーの確認、ウイルス対策ソフトや侵入検知ソフトの更新などが一般的です。しかし、このような基本的なことにとどまらず、リスク管理の専門家、最高情報セキュリティ責任者、運用・保守のリーダーはすべて、自社の全体的なセキュリティ態勢、計画、ポリシーにおける脆弱な要素を特定するために、プロセスを見直す必要がある。
従来の防御やセグメンテーションがソーシャルエンジニアリングの手口によって覆される可能性がある場 合、チェックとバランスを強化することが、攻撃の成功と阻止の違いを生む可能性がある。ソーシャルエンジニアリングのライフサイクル、いつ、どのように不審な行動を報告するか、 変更管理と承認プロセスの実施について従業員を訓練する。最も重要なことは、工場、プラント、およびプロセスフロアの従業員は、自分たちの情報が潜在的な敵対者にとって、知的財産やビジネス上の機密情報と同様に魅力的なものであることを認識する必要があるということである。
ストーリーへの貢献、ソーシャルエンジニアリングに関する専門知識、そして業界への貢献に対して、Stephanie Carruthers に謝意を表する。
