2017年5月12日(金)、ランサムウェア「WannaCry」が世界150カ国以上で20万台以上のコンピュータに感染し、世界の表舞台に登場した。ありがたいことに、重要インフラや製造システムへの影響は比較的少なかった。WannaCryの拡散は今のところ抑えられているが、新たな亜種も報告されている。つまり、重要インフラ事業者や製造業者は、WannaCryシリーズのランサムウェア・マルウェアから産業制御システム(ICS)を保護するための対策を今すぐ講じる必要がある。
まず、最新のセキュリティ・パッチが適用されていないWindowsオペレーティングシステムを実行しているコンピュータやデバイスを特定し、システムに脆弱性があるかどうかを判断することから始めましょう。また、マルウェアの伝播に使用されるWindows SMB1プロトコルで通信しているデバイスも特定する必要があります。これらの状況が存在する場合、これらのセキュリティの弱点を緩和し、保護するための計画を実行する必要があります。
WannaCryが電力システムや水道システムといった重要なサービスを停止させなかったことに深呼吸することはできるが、このマルウェアが非常に大きな警鐘を鳴らしていることは確かだ。産業用システムへのランサムウェア感染を予防・軽減するために、直ちに、そして長期的に何ができるかを見てみよう。
今すべきこと:ICS WannaCryの脆弱性の特定と緩和策の実施
WannaCryは、電子メールのフィッシング・キャンペーンを利用してネットワークに侵入し、Windows SMB1の脆弱性を利用して自己増殖する。OT システムはITネットワークからの脅威から保護されるべきだが、現在では産業ネットワークへの経路も多く、輸送システムや製造システムがWannaCryに感染した事例も報告されている。
産業用制御システム(ICS)が危険にさらされているかどうかを判断するには、古いバージョンのWindowsオペレーティングシステムを実行しているコンピュータやその他のデバイスを特定します。また、SMB1を使用して通信しているネットワーク接続を特定する。
そのためには、ICS資産管理と可視化ツールを使用することです。このツールは、すべての資産とそのオペレーティングシステム/バージョン番号を迅速かつ自動的に識別し、すべてのネットワーク接続とその通信方法を識別します。これにより、パッチ適用やその他の修復措置が必要なデバイスに注意を向けることができる。このような技術を持っていない場合は、OT に相談するか、手動で脆弱なコンポーネントを特定する必要があります。
産業用デバイスにパッチを当てたり、通信方法を変更したりすることにはリスクが伴いますが、それらのリスクとランサムウェアがICSに及ぼすリスクを比較検討する必要があります。アクションプランの一環として、マイクロソフトがWindowsオペレーティングシステムの古いバージョンに対するセキュリティパッチを無償で提供していることを知っておいてください。
以下は、計画立案に役立つリソースです(最初のリンクは、マイクロソフトの無料セキュリティ更新プログラムへのリンクです):
- Microsoft.com:Microsoft Update カタログ
- マイクロソフト.WannaCrypt 攻撃に関するお客様向けガイダンス
- US-Cert.gov:WannaCry ランサムウェアに関連する指標
- WannaCry の技術的な詳細と企業ネットワークのリスク管理アプローチについては、FireEye の記事を参照してください:WannaCry ランサムウェアキャンペーン:脅威の詳細とリスク管理
システムに対するリスクのレベルや、感染がもたらす可能性のある影響に基づき、計画的なパッチ/テスト・サイクルから、OT 、ITネットワークを一時的に切断するという極端な措置まで、さまざまな対応を検討することができます。
次にすべきこと時間をかけてサイバー耐性を向上させる
1) リアルタイム資産管理の導入
ICSセキュリティの基本的なベストプラクティスは、オペレーティングシステム、バージョン番号、既知の脆弱性などの各デバイスの情報を含む最新の資産インベントリを持つことです。以前は、大規模で異種混合の産業用システムに対してこの情報を取得し維持することは、時間がかかり困難でした。
現在では、これを迅速かつ自動的に行うソリューションがあります。私たちはこのようなソリューションのひとつを提供していますが、重要なのは、リアルタイムな可視性と照会機能を備えた優れた資産管理プログラムを持つために、組織にとって必要なあらゆる行動をとることです。
2) パッチプログラムの再検討
産業用システムは、パッチを当てないことで悪名高い。パッチを当てると、アプリケーションやプロセス全体が機能しなくなる可能性があるからだ。あるいは、パッチをテストし、安全に実施するためのリソースに制約がある場合もある。どのような理由であれ、WannaCryは、パッチ適用プログラムを見直すよう警告している。理想を言えば、問題を防ぐパッチが利用可能であったにもかかわらず、プロセスや製造システムが停止に追い込まれた経緯を説明する必要はない。
3) 産業ネットワークとプロセスの可視性と監視の確保
資産管理と同様に、これまで大規模な産業用ネットワークとそれらが制御するプロセスを包括的に可視化し、監視することは非常に困難でした。現在では、ネットワーク接続、異常、プロセス変数のステータスを表示するなど、リアルタイムの産業用ネットワーク可視化インターフェースを提供する新しいソリューションがあります。私たちはそのようなソリューションの一つを提供していますが、OT システムに対する受動的で非侵入的な可視化が可能になったことを認識しておくことが重要です。
WannaCryの場合、このようなシステムはいくつかの点で検知と修復を容易にするだろう:
- ランサムウェアが攻撃を継続すべきかどうかを確認するために使用する異常なDNSリクエストを検出する。その後、DNSリクエストに関するコンテキストと、その分析に役立つPCAP情報を提供するアラートを生成する必要があります。
- Windows SMB1プロトコルを使用しているネットワーク接続を特定する。WannaCryはこのプロトコルを使用して通信を行うため、このプロトコルを使用しているデバイスを特定することで、防御の意思決定を行うことができる。例えば、すべてのSMB1通信を停止することで、マルウェアの拡散を制限できる。
4) インシデントレスポンス能力と計画の見直し
インシデントレスポンス計画をテストするのに、急速に拡散する現実のマルウェアほど適したものはない。今回のケースではどの程度うまくいったのか?何が改善されただろうか?計画を更新するプロセスを開始する時期なのか?アラート疲労は迅速な対応を悩ませたか?WannaCry のような大規模なサイバーインシデントに対するインシデント管理を容易にし、対応を迅速化する、ICS 環境に特化したインシデント相関および再生機能が利用可能になったことを知っておいてください。
さらに、サイバーインシデントを分析するためのフォレンジックツールはどの程度充実していますか?OT サイバーセキュリティイベントを特定し、適切な担当者に警告するためのSIEMやその他のソリューションがありますか?イベントを分析し、将来の予防方法を学ぶために、PCAPやICSシステムスナップショットの前後を提供するツールをお持ちですか?もしそうでなければ、今こそこれらの機能を提供するソリューションを探す時です。
5) 産業サイバーセキュリティ基準の導入
WannaCryのようなサイバーセキュリティの重要な出来事は、確実に経営陣の注目を集め、おそらく現在のICSセキュリティの実践を見直すことになるでしょう。あなたの組織は、IEC-62443、NISTフレームワーク、NERC CIPのような産業用サイバーセキュリティ標準の実装に関して、どのような状況にありますか?
これらの標準は、何らかの方法でOT ネットワークに侵入するサイバー攻撃を阻止し、封じ込めるために機能する層状のセキュリティ対策(深層防御)を展開するのに役立つ。
例えば、重要な対策は、産業用ネットワークをセキュリティ・ゾーンにセグメント化し、ゾーン間の通信を制御するコンジット(通常はファイアウォール)を設置することである。ファイアウォールは施設のパデュー・レベル間に設置され、各レベルには複数のプロセス・グループがある場合もあります。
WannaCryの場合、異常検知ソリューションがあれば、マルウェア攻撃が発生していることを特定し、ファイアウォールと積極的に通信して、例えばTCPポート445をブロックして拡散を阻止することもできる。私たちの製品、Guardian は、ファイアウォールと統合して、この種の機能を提供しています。確かに、このアプローチには評価すべき重要な考慮事項がありますが、そのような機能が存在することを認識しておいてください。
6) ユーザー意識とトレーニング
組織で最も弱いセキュリティ・リンクは人である、というのは古い格言である。WannaCryは、フィッシングメールの添付ファイルやリンクをクリックすることでシステムに侵入したと広く信じられている。
さまざまなユーザーグループに合わせた継続的なトレーニングと意識向上が不可欠である。この点に関する取り組みが理想的でない場合、WannaCryはそれらを見直すきっかけとなる。
結論高まるサイバーセキュリティへの懸念が新たなアプローチにつながる可能性
2008年のConfickerワームと同様に、WannaCry 2017は、ほとんどの組織にサイバーセキュリティの実践と防御を再検討させるだろう。今回は幸いにも重要なインフラシステムや製造業者に大きな影響はなかったが、将来の攻撃から身を守るためには、組織のサイバー耐性を強化する必要があるかもしれない。
ICSサイバーセキュリティの専門家で構成される当社の技術チームは、数十年の経験を有し、WannaCryやその他の脅威からお客様の組織を支援するために待機しています。産業用制御ネットワークのリアルタイムサイバーセキュリティと可視化により、WannaCryやその他の産業オペレーションへの脅威からどのように保護できるかをご説明します。info@nozominetworks.com までご連絡ください。
