海の向こうの“セキュリティ”

親ロシア派ハクティビストによるOT機器へのサイバー攻撃に対し、米英加の複数機関が緊急警告

 北米および欧州のOT(Operational Technology:製造業や社会インフラの運用・制御技術)機器に対する、親ロシア派ハクティビストによる執拗なサイバー攻撃が深刻な被害を生んでいる中、米国などの複数の組織は連名で緊急警告(Urgent Warning)として概況報告書を公開しました。

 「Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity(現在進行中の親ロシア派ハクティビストの活動に対するOTオペレーションの防御)」と題した本報告書は、以下の組織の連名となっており、サイバーセキュリティそのものを中心に担っている組織以外も含まれています。

  • 米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity and Infrastructure Security Agency、CISA)
  • 米連邦捜査局(Federal Bureau of Investigation、FBI)
  • 米国家安全保障局(National Security Agency、NSA)
  • 米環境保護庁(Environmental Protection Agency、EPA)
  • 米エネルギー省(Department of Energy、DOE)
  • 米農務省(United States Department of Agriculture、USDA)
  • 米食品医薬品局(Food and Drug Administration、FDA)
  • 米多州間情報共有分析センター(Multi-State Information Sharing and Analysis Center、MS-ISAC)
  • 加サイバーセキュリティセンター(Canadian Centre for Cyber Security、CCCS)
  • 英国家サイバーセキュリティセンター(United Kingdom’s National Cyber Security Centre、NCSC-UK)

 この報告書は全5ページとコンパクトにまとまっており、以下のような構成となっています。なお、HMIは「Human Machine Interface」の略です。

  • Overview(概要)
  • Overview of Threat Actor Activity(脅威行為者の活動概要)
    • 2024 Year-to-Date Activity(2024年までの活動)
    • Remote Access to HMIs(HMIへのリモートアクセス)
  • MITIGATIONS(対策)
    • Network Defenders(ネットワーク防御側)
      • Harden HMI Remote Access(HMIリモートアクセスの強化)
      • Strengthen Security Posture(セキュリティ体制の強化)
      • Limit Adversarial Use of Common Vulnerabilities(一般的な脆弱性の敵対的使用の制限)
    • OT Device Manufacturers(OTデバイスメーカー)
  • RESOURCES(支援リソース)
  • REPORTING(報告先)
  • ACKNOWLEDGEMENTS(謝辞)
  • DISCLAIMER(免責事項)
  • VERSION HISTORY(改訂履歴)

 「Overview(概要)」では、親ロシア派ハクティビストが上下水道システムやダム、エネルギー、食品・農業セクターの小規模なOTシステムを狙って侵害しており、仮想ネットワークコンピューティング(Virtual Network Computing、VNC)リモートアクセスソフトウェアおよびデフォルトパスワードを悪用し、HMIのようなソフトウェアコンポーネントを通じて、インターネットに公開されたモジュール式の産業用制御システム(Industrial Control System、ICS)を侵害しようとしているとしています。

 ここからは、上記の状況を踏まえてまとめられた「MITIGATIONS(対策)」の参考訳を紹介します。

■Network Defenders(ネットワーク防御側)

親ロシア派のハクティビストは、脆弱なパスワードセキュリティやインターネットへの露出など、サイバーセキュリティの弱点を悪用している。この脅威から身を守るために、本報告書作成団体は組織に対して以下を推奨する:

1. Harden HMI Remote Access(HMIリモートアクセスの強化)

  • システムの監視や変更に使用されるタッチスクリーンやPLC(Programmable Logic Controller)などの全てのHMIを公衆インターネットから切り離す。リモートアクセスが必要な場合は、強力なパスワードと多要素認証を備えたファイアウォールおよび/または仮想プライベートネットワーク(VPN)を実装し、デバイスアクセスを制御する。
  • OTネットワークへの全てのアクセスに多要素認証を実装する。詳細については、CISAの「More than a Password」を参照。
  • HMIのデフォルトパスワードや弱いパスワードは全て早急に変更し、強力で一意のパスワードを使用する。工場出荷時のデフォルトパスワードが使用されていないことを確認する。リモート設定パネルを開き、古いパスワードが表示されていないことを確認する。
  • VNCを利用可能な最新バージョンに常に更新し、全てのシステムとソフトウェアにパッチと必要なセキュリティアップデートが適用されていることを確認する。
  • 認められたデバイスのIPアドレスからのみアクセス可能にする許可リストを確立する。許可リストを特定の時間帯に絞り込むことで、悪意のある脅威者の活動をさらに阻止することができる。組織はアクセス試行を監視するためのアラート機能を確立することが推奨される。
    ※注:許可リスト自体はセキュリティソリューションとして完全ではないが、脅威者がデバイスを侵害するために必要な労力のレベルを高める可能性がある。
  • HMIへのリモートログインをログに記録し、ログイン試行の失敗や通常とは異なるログイン時刻に注意を払う。

2. Strengthen Security Posture(セキュリティ体制の強化)

  • サイバーセキュリティの考慮事項をOTシステムの構想、設計、開発、および運用に統合する。詳細については、DOEのサイバーセキュリティ・エネルギーセキュリティ・緊急対応局(Office of Cybersecurity, Energy Security, and Emergency Response、CESER)のCyber-Informed Engineeringに関する公開資料を参照のこと。
  • システムを手動で操作する能力を訓練し、維持する。
  • HMIのエンジニアリングロジック、構成、およびファームウェアのバックアップを作成して、迅速な復旧を可能にする。工場出荷時設定へのリセットとバックアップの展開について自組織に周知する。
  • PLCのラダーロジック、または他のPLCプログラミング言語と図(diagram)の整合性をチェックし、無許可の変更がないかチェックして、確実に正しい動作をするようにする。敵対者は、構成やラダーロジックを変更することで、永続性を維持しようとしたり、安全でない方法でデバイスを密かに操作しようとしたりする可能性がある。
  • ITネットワークとOTネットワークの両方を反映したネットワーク図を更新して保護する。オペレータは、ネットワーク図への個人のアクセスに対して、最小特権とNeed To Know(知る必要がある人にだけ知らせる)の原則を適用すべきである。ネットワークアーキテクチャを入手しようとする内部および外部からの勧誘活動(悪意の有無に限らず)を常に意識し、図の作成を信頼できる要員に制限する。ネットワーク図のファイルを保護するために、暗号化、認証、および認可の技術を使用することを検討し、ネットワーク図を閲覧または変更できる人を監視および制限するために、アクセス制御および監査ログを実装する。
  • サイバー脅威/物理的脅威に注意する。敵対者は、公式訪問、見本市やカンファレンスでの会話などのさまざまな物理的手段、およびソーシャルメディアプラットフォームを通じてネットワーク認証情報の入手を試みる可能性がある。
  • 全てのHMIについて一覧表を作成し、耐用年数の終了状況を判断する。耐用年数を過ぎたHMIを可能な限り早く交換する。
  • 物理プロセスの操作にソフトウェアおよびハードウェアの制限を導入し、侵害が成功した場合の影響を制限する。これは、オペレーショナル・インターロック(operational interlock)、サイバーフィジカル安全システム(cyber-physical safety system)、サイバーインフォームド・エンジニアリング(cyber-informed engineering)を使用することによって実現できる。

3. Limit Adversarial Use of Common Vulnerabilities(一般的な脆弱性の敵対的使用の制限)

  • リスクへの暴露を削減する。米国の組織は、スキャンやテストなど、さまざまなCISAサービスを無料で利用し、攻撃ベクトルを軽減することで脅威にさらされる度合いを減らすことができる。CISA Cyber Hygieneサービスは、インターネットにアクセス可能な資産の付加的なレビューを提供し、脆弱性を軽減するために取るべき手順に関する定期的なレポートを提供するのに役立つ。始めるには vulnerability@cisa.dhs.gov 宛に「Requesting Cyber Hygiene Services」の件名で電子メールを送信する。英国の組織は、NCSCの無料のEarly Warningサービスを利用することができる。
  • 自組織のセキュリティ体制を評価する。CISAの各地域のサイバーセキュリティアドバイザーは、組織が現在のセキュリティ体制を理解するのに役立つCPG評価を提供している。評価の予約は地域のCISAオフィスに連絡のこと。

■OT Device Manufacturers(OTデバイスメーカー)

重要インフラ組織はリスクを軽減するための措置を講じることはできるが、設計上安全(secure by design)で、かつ、デフォルトで安全(secure by default)な製品を構築することは、最終的にはOTデバイスメーカーの責任である。本報告書作成団体は、共同ガイド「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」とCISAの「Secure by Design and Default」のウェブページに沿って、デバイスメーカーが顧客のセキュリティの結果に対して責任を持つことを強く求めている。

  • デフォルトパスワードを排除し、強力なパスワードを必須とする。デフォルトの認証情報の使用は、脅威者がシステムにアクセスするために悪用する最大の弱点である。メーカーは、このトピックに関するCISAの「Secure by Design Alert」で推奨されているいずれかのアプローチを通じて、この問題を大規模に排除することができる。
  • 特権ユーザーに多要素認証を義務付ける。エンジニアリングロジックまたは構成の変更は、重要インフラの安全性に影響を与える事象である。いかなる変更にも多要素認証を必須とすべきである。
  • 追加料金なしでログ記録を含める。変更ログとアクセス制御ログにより、オペレータは、重要インフラにおける安全性に影響を与える事象を追跡することができる。これらのログは無料であるべきであり、且つオープンな標準のログ形式を使用すべきである。
  • ソフトウェア部品表(SBOM)を公開する。基盤となるソフトウェアライブラリの脆弱性は、広範囲のデバイスに影響を及ぼす可能性がある。SBOMがなければ、重要インフラのシステム所有者が、脆弱性が既存のシステムに与える影響を測定し、軽減することはほぼ不可能である。

さらに、ソフトウェアメーカーが悪意のあるサイバー活動からウェブ管理インタフェースを保護する方法については、CISAの「Secure by Design Alert」を参照のこと。セキュア・バイ・デザイン戦略を使用することで、ソフトウェアメーカーは、構成の変更、階層化されたセキュリティソフトウェアやログの購入、監視、定期的な更新といった追加リソースを顧客に要求することなく、自社の製品ラインを「箱から出してすぐに」セキュアにすることができる。

 緊急警告として今回公開された報告書は「親ロシア派ハクティビストによる攻撃」に備えるためのものですが、その対策内容自体は一般的なものであり、親ロシア派ハクティビストに限定したものではありません。対策の要点をコンパクトにまとめているだけでなく、参照すべき詳細情報へのリンクも提供していますので、OT機器を使用している、または製造している企業や組織の担当者の方には、1度は目を通しておくことを強くおすすめします。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。