基幹インフラへのランサムウェア攻撃を阻止する

はじめに

ランサムウェアの脅威は、産業用システムのエンドポイントにおいても深刻化しています※1。また、最近のランサムウェアは、修正パッチが長期間適用されていない脆弱性や、あまり知られていないゼロデイ脆弱性などを悪用するなど、手口が巧妙化してきています。多くの場合、あるサイバー犯罪者（もしくはグループ）が脆弱性を発見し、別のグループが脆弱性一覧を販売し、さらに別のグループが脆弱性を悪用するツールを販売し、そして別の攻撃者が支払い処理を行うというように、巧みな分業体制が確立しています。
また、ランサムウェア攻撃の中には、二重、三重の恐喝手口を駆使するものも確認されています※2。
※１ ICS ENDPOINTS AS STARTING POINTS FOR THREATS 2020
産業向けサイバーセキュリティの実態調査 2022
※２サイバーセキュリティ3つのトレンドとCISOのためのセキュリティリスクの軽減戦略（前編）

こうした手口の巧妙化は、産業用ネットワークが、ベンダ固有の通信プロトコルで構築されたクローズド環境から、他のアプリケーションと共有される企業IPネットワークを活用するIPベースのシステムへと進化するのと時を同じくしています。こうして業務上の遠隔監視、設定調整、分析作業が一般的となり、自動化システムとフィールドオペレーションは、クラウドコンピューティングとエッジコンピューティングの双方を活用するようになりました。
このような相互接続性が増した今日のITおよびOTシステムにより、攻撃対象領域（アタックサーフェス）も拡大し続けています。

6つの領域でランサムウェア攻撃を阻止する

産業制御システム（ICS）のセキュリティ対策において、ランサムウェアなどのサイバー脅威を阻止する際、防御すべき主要な運用領域は「OTとITの境界」「OT資産」「OTネットワーク」「産業用もののインターネット（IIOT）」「オフライン運用」「セキュリティ運用センター/インシデント対応チーム（SOC/CSIRT）」の6つになります。そして以下のとおり、それぞれの領域において、注意すべきリスクおよび対処手順が存在しています。

1. OTとITの境界線：

OTとITは、今日かつてないほど密接に結びついているため、一方の脆弱な箇所が他方のリスクとなってしまいます。また、多くの産業環境において、企業や組織の異なる部門がOTとITシステムの異なる箇所の責任を負っているという現状が、このリスクをさらに悪化させています。例えば、企業のIT部門、地域ごとのIT部門、生産技術チームなどに分かれてしまっている場合がそれに当てはまります。このように責任が分散しているため、1つの部門でネットワーク全体を把握することができない断絶した状況（サイロ状態）にあります。この状況を改善するため、基幹インフラを担う事業者は、ITとOTの間に「防御の境界」を設ける必要があります。

2. OT資産：

ITとOTが統合された環境は、平均5年のPCから20年以上使用されている産業機器まで、ライフサイクルが大きく異なるコンポーネントを抱え込むいわば「システムの中のシステム」といった複雑な状況を呈しています。このように新しい技術とレガシー技術が混在しているため、最新の方法で防御できる資産もあれば、セキュリティソフトウェアに対応していなかったり、修正パッチがまったく適用できなかったりする古い資産も存在しています。したがって、これらの多様なタスク、システム、オペレーションが直面するさまざまなリスクへ柔軟に対応できるセキュリティポリシーによって統括された対策が求められます。

3. OTネットワーク：

セルラー、RF（Radio Frequency無線周波数、高周波）、クラウド、エッジコンピューティングなど、産業環境に新たに登場した接続タイプやテクノロジーには、SASE（Secure Access Service Edge）のような最新のセキュリティアプローチが必要となります。具体的には、受け身で攻撃を撃退するだけでなく、エンドツーエンドのネットワーク可視化および接続された産業プロセスの知見を活用して、ネットワークに侵入した攻撃を事前に特定して阻止する活動に重点を置くアプローチです。トレンドマイクロの調査によって特定されたこうしたリスク領域の1つとしては、デバイスとシステム間の情報交換を促進するプロトコルゲートウェイが挙げられます※。このゲートウェイは、一般的に産業用機器とITシステムの相互接続に使用されており、侵入された場合、産業用プロセスが停止される危険性があります。したがって、ネットワークセキュリティの対策も、フィールドネットワークで使用されるこれらのプロトコルやその他の産業用プロトコルを考慮した形に適合させる必要があります。
※スマート化された産業制御システムに潜むサイバーセキュリティリスク実証実験の結果を公開

4. 産業用もののインターネット（IIOT）：

IIoTでは、プライベート5Gネットワークへの依存度が高まる中、4つの侵入経路および3つのコアネットワーク信号の傍受ポイントへの注意が必要です※。この場合、コアネットワークは、製造現場全体を攻撃するための踏み台として利用される可能性があります。5G接続、産業用クラウド、IoTセンサーなど、IIoTに関連するすべての技術をセキュリティア対策の守備範囲に折り込む必要があります。
※4G/5Gコアネットワークからの攻撃　侵害された4Gプライベート/ローカル5Gネットワークにおける産業用IoTのリスク

5. オフライン運用：

すべての産業用オペレーションがネットワークに接続されていない中、リムーバブルメディアやメンテナンス用端末など、外部からネットワークに接続するオフラインの技術もリスクを招く原因となり得ます。ランサムウェアを防止し、産業環境を保護するためには、これらの技術の扱いにも注意する必要があります。

6. セキュリティ運用センター/インシデント対応チーム（SOC/CSIRT）：

いずれも、企業とインターネットをはじめ、ネットワーク監視を担う企業内の重要なIT部門であり、彼らの業務では、脅威の特定、インシデント対応、封じ込めをOTおよびITの環境全体にわたってエンドツーエンドで可視性を確保できる効果的かつ総合的なセキュリティなプラットフォームが不可欠となります。

適切なセキュリティ対策の展開

米国のサイバーセキュリティ・社会基盤安全保障庁（CISA）は、ICS環境におけるランサムウェア攻撃阻止のためのガイダンスを発表し、「準備」「検知と分析」「封じ込めと根絶」「復旧」の4段階のプロセスを示しています※。
これらは、さらに「感染リスクの低減」と「事故後の影響の最小化」という2つの包括的な原則に集約することができます。これらの範囲をカバーするためには、IT、OT環境全体を完全に可視化できる統合セキュリティプラットフォームが必要となります。
※ StopRansomware.gov

こうした統合セキュリティプラットフォームでは、状況認識が完全な形で提供され、OTおよびITインフラストラクチャのすべてのリスクと脅威が明らかにされ、レガシーシステムと現行システムの両方のセキュリティが制御されるなど、基幹業務への柔軟かつ持続可能な防御体制が必要となります。

もう1つの重要なコンポーネントは、XDR（Extended Detection and Response）です。
XDRは、IT におけるセキュリティ対策ですが、今日のOTでも同様な適用が可能です。ただし、帯域幅の狭さ、インターネットアクセスの欠如、デバイス間でのIPアドレスの共有など、OT特有の環境に合わせるための若干の調整も必要となります。

XDR は、メール、エンドポイント、サーバ、クラウドワークロードなど、従来であればサイロ化されていた環境を全体的に監視し、それらのデータを相関させて、単独では不正に見えないイベント（ステルス型ランサムウェア攻撃の特徴など）を拾い出し、感染のリスクを示す痕跡（IOC）として認識することを可能にします。企業や組織のセキュリティ部門は、こうしてより迅速な検知と対応とより多くのアラート処理が可能となり、組織全体のセキュリティ状況の改善を実現することができます。
基幹インフラに対するランサムウェア攻撃を阻止するための統合セキュリティプラットフォームとXDRの組み合わせは、以下のように6つのOT領域のすべての要件を満たしています。
• IT/OT環境間やクラウドを狙うマルウェア攻撃を阻止する
• アプリケーションコントロール（ホワイトリスティング）と感染デバイスの復旧措置によってレガシーエンドポイントを保護する
• インライン展開やパッシブ監視によって現状認識の向上を実現する
• ICSを狙うマルウェアへの対策によりIIoT機器を保護する
• OT環境に持ち込まれたリムーバブルメディアやデバイスの安全性を確保する
• 複数の感染経路にわたる多層なデータを関連付けて統合的な監視が可能となる

今日、ランサムウェアがこれまで以上に巧妙化して大きな金銭損失をもたらすものになり、基幹インフラやその他の産業環境が格好の標的となってきています。上述のとおり、OTとITが統合された環境へ適したセキュリティ対策が求められ、多層的な防御、早期検出と対応、ネットワーク全体のセキュリティ監視を維持するための統合プラットフォームの導入は急務となっています。

本記事は2022年10月にUSで公開された記事の抄訳です。
翻訳： Core Technology Marketing, Trend Micro™ Research