海の向こうの“セキュリティ”
産業用制御システムの脆弱性調査市場が成長、研究者たちの関心集まる
イスラエルのセキュリティ企業が報告書を公開
2021年3月4日 06:00
2020年下半期に公開された産業用制御システムの脆弱性
重要インフラでも使用されている産業用制御システム(ICS:Industrial Control System)を狙った攻撃が深刻となってきている中、ICSのセキュリティを扱うイスラエルのセキュリティ企業Clarotyは2020年下半期に公開されたICSの脆弱性についてまとめた報告書「Claroty Biannual ICS Risk & Vulnerability Report: 2H 2020」を公開しました。
今回の報告書は、パンデミックに伴うリモートワークの急速な普及を背景に、ICSを狙った攻撃が増えていることを前提として挙げていますが、そのような攻撃について解説することを目的としたものではなく、あくまで公になっているICSの脆弱性についてまとめたものとなっています。
まず、ICSのセキュリティおよび脆弱性の傾向として「Executive Summary」に挙げられているのは以下の6点。
| (1/6) | 2020年下半期には、59のベンダーのICS製品に影響を与える449件の脆弱性が開示された。これらのうち70%以上に共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)でhighまたはcriticalのスコアが付与されており、2020年上半期の75%からは減少している。 |
| (2/6) | 2020年に開示されたICS脆弱性の数は、2018年と比較して32.89%、2019年と比較して24.72%増加している。増加の主な要因は、ICSの脆弱性がもたらすリスクに対する認識が高まっており、かつ研究者やベンダーが、そのような脆弱性を可能な限り効果的かつ効率的に特定し、修正することに注力するようになってきているためと考えられる。 |
| (3/6) | 2020年下半期に開示されたICS製品の脆弱性は重要製造業、エネルギー、上下水道、商業施設の各セクターに最も多く見られ、それらは全て重要インフラセクターに指定されている。 |
| (4/6) | 商業施設セクターに影響を与える脆弱性の数は2018年下半期と比較して140%の増加。 |
| (5/6) | 政府施設部門に影響を与える脆弱性の数は2018年下半期と比較して780%の増加。 |
| (6/6) | 脆弱性の60.8%が第三者企業によって発見されたもので、調査グループの中では最も有力な存在となっている。全ての第三者企業のうち、初めて開示報告をした企業は22社であり、ICSの脆弱性調査市場の成長をさらに裏付けるものとなっている。 |
次に、ICSの脆弱性に伴う脅威とリスクとして「Executive Summary」に挙げられているのは以下の11点。
| (1/11) | 脆弱性の71.49%はネットワークの攻撃ベクトル(つまり、遠隔操作可能なもの)で悪用されるものである。 |
| (2/11) | 発見された脆弱性の46.32%は、Purdueモデル[*1]の基本制御(Basic Control、レベル1)および監視制御(Supervisory Control、レベル2)のレベルに影響を与えるものである。 |
| (3/11) | 発見された脆弱性の14.7%は、複数の種類の製品(OT Purdueモデルのさまざまなレベルで動作する製品、IoT、ネットワークデバイス)に影響を与える。このカテゴリのほとんどにサードパーティ製コンポーネントの脆弱性が含まれている。 |
| (4/11) | 脆弱性の89.98%は悪用するのに特別な条件を必要とせず、攻撃者は繰り返し可能な成功を毎回期待できる。 |
| (5/11) | 脆弱性の76.39%で、攻撃者は攻撃前に認証されず、ターゲットの設定やファイルに対するいかなるアクセスや権限も必要としない。 |
| (6/11) | 脆弱性の78.17%については、ユーザーによる操作は必要ない。 |
| (7/11) | ユーザーによる操作を必要としない脆弱性の78.92%は遠隔からの悪用が可能。 |
| (8/11) | 監視制御(Supervisory Control)の脆弱性の80.95%については、ローカルの攻撃ベクトルで悪用する場合、ユーザーによる操作が必要である。これはソーシャルエンジニアリングによる攻撃ベクトルの活動領域であることを示している。 |
| (9/11) | 悪用に成功した場合、脆弱性の65.7%は可用性を完全に失う原因となる可能性がある。 |
| (10/11) | 脆弱性の94.43%については、機密性への影響は低いか全くなく、また脆弱性の80.4%については完全性への影響はゼロとなっている。これは情報の完全性と機密性がITセキュリティにおいて重要である一方で、OTネットワークにおいてはリスク変数が少なく、各脆弱性の更なる深刻度評価が必要であることを示している。 |
| (11/11) | 2020年下半期に開示されたICSの脆弱性で最も多く見られる共通脆弱性タイプ(CWE: Common Weakness Enumeration)の上位5つは、悪用が比較的容易で、かつ潜在的な影響が大きいことから、いずれもMITRE社によるリスト「2020 CWE Top 25 Most Dangerous Software Weaknesses」[*2]の上位にランクインしている。 |
[*1]……「Purdueモデル」とは、エンタープライズアーキテクチャの参照モデルで、詳細については以下を参照のこと。
Purdue Enterprise Reference Architecture
https://en.wikipedia.org/wiki/Purdue_Enterprise_Reference_Architecture
Zscaler
What is the Purdue Model for ICS Security?
https://www.zscaler.com/resources/security-terms-glossary/what-is-purdue-model-ics-security
[*2]……2020 CWE Top 25 Most Dangerous Software Weaknesses
https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
ここからは「Executive Summary」に挙げられていない内容から、いくつか取り上げて紹介します。
まず、上記の(6/6)と関連して、脆弱性をその起源(発見者など)でまとめたのが以下の図です。
この「External」の多くは第三者企業であり、そのほかに、独立系(個人)研究者や学者などが含まれています。なお、第三者企業の多くはセキュリティ企業です。また、複数の研究グループが協力して発見・開示しているケースや複数の研究者がそれぞれ別々に同じ脆弱性を見つけて開示したケースもあり、後者のような脆弱性は2020年下半期で70件あったとのことです。
2020年下半期に開示された脆弱性を発見した研究グループで分類したのが以下の図です。
ここで注目すべきは脆弱性発見コミュニティとして知られる「Zero Day Initiative(ZDI)」を介して開示された脆弱性の全体に占める割合です。Clarotyによれば、2018年にZDIがクレジットされた脆弱性は16.81%でしたが、2019年には12%、2020年には11.08%と年々減ってきています。この原因についてClarotyは以下の2つの可能性を挙げています。
- ICSの脆弱性調査市場の増大。データによると、過去3年間でZDIなどの報奨金プログラムに参加した独立系研究者として活動を始めていた人物の一部が、現在では民間企業に入社している。また、Clarotyは、2018年と比較して独立系研究者による開示のシェアが減少していることも指摘している(2020年 16.79% vs 2018年 25.29%)。
- 多くのケースで、独立系研究者はGitHubリポジトリやプライベートブログに投稿し、さまざまなコーディネーター(必ずしもZDIとは限らない)を介して開示のためにベンダーにコンタクトを取っている。
次に、2020年下半期になって初めてICSの脆弱性を開示するようになった研究者が50名おり、その内訳をまとめたのが以下の図です。
なお、Clarotyによると、これらの新しい研究者は、Schneider ElectricやSiemensのような市場をリードするベンダーの製品に注力する傾向があるようです。
2020年下半期に開示された449件のICSの脆弱性を対象となるベンダーごとにまとめたのが以下の図です。Schneider ElectricとSiemensが他社を圧倒していますが、三菱がそのあとに続いています。
その一方で、これまで脆弱性が報告されていなかったベンダーも対象となってきており、2020年下半期に初めて対象となったベンダーは14社となっています。これもまた、上記(6/6)と同様、ICSの脆弱性調査市場の成長を示すものと言えるでしょう。
脆弱性のうちソフトウェアとファームウェアの割合を示したのが以下の図です。
上記の(3/6)に関連して、インフラセクターに影響を与える脆弱性の数の推移をまとめたのが以下の図です。重要製造業、エネルギー、上下水道、商業施設の4つのセクターは上位で安定していることが分かります。
今回の報告書によれば、脆弱性を見つける研究者らのICSに対する関心が増してきており、また、対象となるベンダーも増えてきているなど、ICSの脆弱性調査市場が成長してきていることが分かります。大手のベンダーにおいては発見・報告された脆弱性に速やかに対応して緩和・修正する体制、例えばPSIRT(Product Security Incident Response Team)の整備が進んできていますが、今後は大手以外のベンダーにも、同様とまではいかずとも、それに近い機能や体制が何らかのかたちで求められてくるでしょう。
一方、悪用が容易で影響の大きい脆弱性が多いことから、利用者側にも脆弱性に速やかに対応できる体制の整備やパッチの適用しやすい(パッチ適用可能性の高い)システムの設計がこれまで以上に求められていると言えます。
報告書には今回紹介した以外にも、開示された脆弱性を技術的な悪用可能性の観点で分析・分類した結果など、さまざまなデータが掲載されています。図が多用されていて比較的読みやすいかたちになっていますので、ICSのセキュリティに関わる方はそれらの図を眺めるだけでもよいので、まずは目を通しておくことをお勧めします。
- Claroty(2021年2月4日)
ICS Vulnerabilities Increased in Second Half of 2020 as Gaps in Remote Work Expand Attack Surfaces - https://www.claroty.com/resource/ics-vulnerabilities-increased-in-second-half-of-2020-as-gaps-in-remote-work-expand-attack-surfaces/
- Claroty Blog(2021年2月4日)
Biannual Claroty ICS Vulnerability Report Exposes New Flaws, Trends - https://www.claroty.com/2021/02/04/blog-research-second-biannual-claroty-ics-vulnerability-report/
- Claroty Biannual ICS Risk & Vulnerability Report: 2H 2020
- https://security.claroty.com/biannual-ics-risk-vulnerability-report-2H-2020
- ITmedia(2021年2月8日)
2020年は産業用制御システムを狙った攻撃が増加、Claroty調べ - https://www.itmedia.co.jp/enterprise/articles/2102/08/news113.html
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。