ドイツのコングロマリットであるティッセンクルップ社へのサイバー攻撃が本日報告され、専有情報の窃盗(Dragonfly、Flame Duqu)や業務妨害(Shamoon)を目的とした産業界への著名なサイバー攻撃のリストに加わった。
ティッセンクルップのサイバー攻撃は、高度に組織化されたプロの悪意ある行為者が同社の業務システムにアクセスし、そこで産業スパイ行為を行ったというものだ。2014年にドイツの製鉄所(一部ではティッセンクルップが所有していると報じられている)がサイバー攻撃を受けたのとは異なり、この攻撃は同社の製鉄高炉や発電所、軍艦を製造する海洋システム部門には影響を与えなかった。
発生した損失は、製造技術や生産計画など盗まれた知的財産の価値と、感染したシステムからマルウェアを除去するための費用である。今回、産業用制御システム(ICS)には影響はなかったが、この事件はICSの運用者にとって、高度な持続的脅威に関連するリスクを再認識させるものである。
高度な持続的脅威は "比較的早く "検知された
このサイバー攻撃は、ドイツ西部の特殊鋼工場だけでなく、ヨーロッパ、インド、アルゼンチン、アメリカなど、ティッセンクルップの複数のサイトに感染したようだ。
この攻撃は2016年2月に発生したと報告されているが、社内のスタッフによって発見されたのは2016年4月のことだった。ティッセンクルップの担当者は、この発見を「かなり早かった」と表現しており、産業事業者によるマルウェア発見の基準からすれば、そうだったのかもしれない。しかし、事業に対する損失の基準で測れば、60~90日の感染は大きな損害を与えた可能性がある。
この種の攻撃はAPT(Advanced Persistent Threat)と呼ばれ、熟練した敵対者が行うものである:
- システムに感染する
- 目的を達成するために必要であれば、その中に侵入する。
- 目的を達成し、被害者に損害を与える
多くの場合、APT攻撃は高度なマルウェアの形をとり、システムに感染し、そのシステムに関するデータやビジネスデータを収集し、長期間にわたってステルス的に動作する。例えばStuxnetは、攻撃を実行したり発見されたりするまでの数年間、データを収集し、ネットワーク全体に拡散した。
フィナンシャル・タイムズ紙は、ティッセン・クルップ社が「組織化された高度に専門的なハッキング攻撃に対して実行可能な保護を提供することは事実上不可能である」と指摘したと報じている。APTをブロックすることは困難であり、ティッセンクルップの比較的迅速な行動とインシデントの公表は賞賛に値する。
とはいえ、企業は、APTの検知と対応時間の改善に努めるなど、高いサイバー耐性を持つための継続的な努力をする必要がある。
ティッセンクルップのサイバー攻撃は産業事業者に何を意味するのか?
ティッセンクルップのサイバー攻撃は、知的財産の窃盗、活動主義、エネルギーや輸送システムなどの重要インフラの破壊を目的とする、洗練され組織化されたハッカーたちの標的となり続けていることを示している。
ICSの可視性を向上させ、マルウェアや異常検知の時間を短縮するなど、APTに対抗するための機能を強化することは、2017年の優先事項リストに入っているかもしれない。
