2016年は,世界の異なる地域で2つの電力会社がサイバー攻撃やサイバー感染を受けたという報告で幕を閉じた.1つ目は2016年12月17日,ウクライナのピヴニチナにある変電所が主要送電網から遮断され,住宅街に停電を引き起こした事件である.ウクライナのエネルギー供給会社であるUkrenergoは,"考えられる故障原因の中には,ハッキングと機器の故障が考えられる "と述べている.
もうひとつは,米バーモント州のバーリントン電力が使用していたノートパソコンが,米政権によって「グリズリー・ステップ」と呼ばれるロシアのハッキング作戦に起因するとされるマルウェアに感染していたという報告だ.このノートパソコンは電力会社の送電網システムには接続されておらず,電力システムの中断は発生しなかったが,この感染は米国の重要インフラのサイバーセキュリティと安全性について警鐘を鳴らした.
ICSセキュリティ侵害のライフサイクルの例
バーモント州の電力会社の事件では,感染したノートパソコン1台がもたらす脅威の大きさを,政治家たちが "これはバーモント州にとって直接的な脅威であり,我々は軽視していない "といったコメントを発表した.
政治家たちは完全な背景を理解していないかもしれないが,1台の感染したノートパソコンが,実に懸念の高い状況を表していることがある.というのも,重要インフラのサイバー攻撃は,一見何の変哲もないところから始まる,多面的で長期にわたるキャンペーンである可能性があるからだ.
2016年12月のウクライナのサイバー攻撃はまだ分析中であるが,2015年12月のウクライナの電力システムに対するやや類似した攻撃は徹底的に研究されている.ブーズ・アレン・ハミルトン(Booz Allen Hamilton)社による先の事件をまとめた報告書「When the Lights Went Out:Ukraine Cyber security Threat Briefing"では,2015年の攻撃の複雑さと期間,そして攻撃者の高い技術レベルが強調されている.
レポートには,17のステップを特定する攻撃ウォークスルーが含まれている:
.
- 偵察と情報収集
↪CF_200D↩ - マルウェアの開発と兵器化 マルウェア(「BlackEnergy 3」)を開発または入手.
. - リモートアクセス・トロイの木馬(RAT)の配信 悪意のある文書を添付した電子メールを組織内の人に送る.
- RATのインストール - 従業員は兵器化されたMSオフィスの電子メールの添付ファイルを開き,マクロを有効にする.
- 従業員のコンピュータを経由して企業ネットワークに感染
↪Cf_200D
コントロール・コマンド接続の確立- ターゲット・ネットワークと攻撃者のコマンド・ コントロール(CC)サーバーの間に接続が確立される.- マルウェア・プラグインの配信- ターゲット・ネットワーク上のマルウェアが更新され,システム・アクセス認証情報を収集し,内部ネットワーク上で偵察活動を行うためのプラグイン・ソフトウェアが含まれる.
↪CF_200D↩
認証情報の収集- 認証情報が収集され,ネットワーク・ディスカバリが行われる.- 企業ネットワーク上の横移動とターゲットの特定-企業ネットワークは,潜在的なターゲットを発見し, アクセスを拡大するために探索される.盗んだ認証情報を使用して制御ネットワークにアクセスし,このネットワーク上で偵察作業を行う.
- 産業制御ネットワークが盗まれた認証情報で感染
↪CF_200D↩ - データ破壊マルウェアの配信- KillDiskマルウェアと呼ばれる破壊ソフトウェアがネットワーク共有にインストールされ,システム再起動時に実行されるようにポリシーが設定される.これは,ブレーカーへの攻撃が発生したときに実行される.
- スケジュールUPSの中断- 無停電電源装置(UPS),つまり電話通信システムやデータセンターシステムのバックアップ電源がオフラインになる予定.
- トリップブレーカー - ネイティブ・リモートアクセスと有効な認証情報を使用してブレーカーを開き,3つの配電エリア内の電力供給を中断.225,000人以上の顧客に停電.
- フィールド機器への接続の切断- ステップ10で開発されたファームウェアがシリアル-イーサネット変換器に配信され,コントロールセンターと変電所間の接続が切断される.
. - 電話によるサービス拒否攻撃ある販売会社の電話コールセンターは,自動化されたコールであふれかえり,顧客からの障害報告を妨げている.
. - UPS停止による重要システムの停止- あらかじめ予定されていたUPSの停止が発生するため,遠隔地との通信や電力サービスの監視ができなくなる.
- 重要なシステム・データを破壊予定されているKillDiskマルウェア攻撃は,企業やICSネットワーク全体の標的マシンで実行され,操作不能にし,重要なデータを破壊します.
Source:出典:When the Lights Went Out:ウクライナのサイバーセキュリティ脅威ブリーフィング,ブーズ・アレン・ハミルトン
高度な脅威に対する防御には多層的なアプローチが必要
2015年のウクライナの停電は,企業のコンピューターがICSサイバー攻撃の入り口になりうることを実証した.したがって,バーリントン・エレクトリック社のノートパソコンから発見されたマルウェアについて詳しいことはわからないが,当然ながら深刻に受け止めるべき事態であり,ありがたいことに今回のケースはそうなっている.
2015年のウクライナの攻撃のように,Advanced Persistent Threats(高度な持続的脅威)を含む長期的な攻撃からの保護には,従業員のセキュリティ意識向上トレーニング,ネットワークのセグメンテーション,threat intelligence ,強力なパスワード,リモートアクセスの多要素認証など,多層的なアプローチが必要である.
ブーズ・アレン・ハミルトン社の報告書では,OT ,イベントを捕捉し,相関させるモニタリング環境の利用が,防衛策の1つとして挙げられている.このようなツールは,「ICSネットワーク通信のベースラインを確立することによって,制御システムトラフィックの予測可能性を利用し,異常のためにアクティブな監視を行う」.Nozomi Networks'Guardian は,まさにそれを実現する革新的な製品であり,高度なサイバーセキュリティ技術が,安全で信頼性の高い電力をグローバルに提供する上で重要な役割を果たす一例である.
Nozomi Networks ' 技術がウクライナ2015年サイバー攻撃をどのように識別し,早期発見と軽減を可能にしたかをご覧になりたい方は,当社までご連絡ください.
