OTを狙う５つの攻撃手法を阻止するサイバーセキュリティ

サイバーセキュリティの世界における劇的な変化は、特に製造業界において起こっています。第4次産業革命により、5Gネットワーク、自動化、クラウド環境の重要性が高まり、より速く、よりダイナミックに展開されるビジネスが可能になると期待されているためです。
こうして新たな接続が増加する中、企業や組織のセキュリティ部門のリーダーは、アタックサーフェス（攻撃対象領域）の拡大に直面しています。このような不確実性に対処するためには、適切なサイバーセキュリティ計画が必要であり、攻撃者が産業システムを狙う際に使用する5つの攻撃手法に注力することで、より適切なプランが可能となります。

サイバーセキュリティにおける「5D」とは

米国サイバーセキュリティ・社会基盤安全保障庁（CISA: Cybersecurity and Infrastructure Security Agency）は、産業制御システム（ICS）をはじめとするOTを狙う攻撃者が利用する5つの手法を、「混乱させる（Disrupt）」「無効化する（Disable）」「拒否させる（Deny）」「だます（Deceive）」「破壊する（Destroy）」と特定し、これらの頭文字をとって「5D」と呼んでいます。
これらの攻撃手法による結果は異なりますが、実行手順はほぼ同じといえます。攻撃者は、まず攻撃対象のシステムを選定し、関連情報を収集します。そして収集した情報を基に、ツールや技術を開発し、対象システムに侵入した後、これらのツールや技術を実行します。
以下、OTを狙う攻撃者が利用するこの5つの手法について説明します。

混乱させる（Disrupt）

この攻撃手法は、ランサムウェアによる恐喝活動と組み合わされることが多く、システム所有者や管理者が保有する制御機能を狙う活動です。産業制御システムは、通常、外部（インターネット）からの接続に依存しているため、攻撃者による利用が容易な状況にあります。システム所有者、管理者、機器ベンダーが必要とするリモートアクセスが、皮肉にも攻撃者がシステムを無力化するための侵入ポイントとなることがあります。
この場合、産業制御システムや重要インフラなどが攻撃対象であれば、わずか1時間の中断でも致命的な被害をもたらすため、ランサムウェアによる恐喝活動と他の攻撃との組み合わせは、混乱の収束を条件に高額な身代金を要求する手口は非常に効果的です。従って、こうした攻撃を防止するためのサイバーセキュリティ計画では、脆弱なITシステムがOTシステムの混乱を引き起こす可能性も考慮する必要があります。ITシステムもふくめ、調達要件や技術仕様、設定において、利用機器や環境の安全性を保持できる状態を作ることが重要です。

無効化する（Disable）

攻撃者が企業や組織のOTネットワークにアクセスした場合、システム内の値を変更したり、制御ポイントを変更したりするだけで重大な混乱が引き起こされることがあります。製造業者自身の品質管理基準が悪用される可能性もあります。また、危険な設定が検出された場合、一部の機器は遠隔で自動的に停止する仕組みになっていることもあり、この仕組みを悪用して攻撃者がシステムの無効化を行うことも可能となります。
このような攻撃手法に加えて、狡猾な攻撃者は、ランサムウェアを利用して、無効化されたシステムの復旧を条件に身代金を要求する場合もあります。企業や組織のサイバーセキュリティ計画では、これらの「無効化攻撃」からOTネットワークを保護する対策への注力が必要です。ネットワーク内の必須サービスを特定し、重要なシステムへのアクセスを提供するこうしたサービスが脆弱でないかなど、事前に特定しておくことが不可欠です。

拒否する（Deny）

産業制御システムを狙う攻撃では、一般の攻撃者や高度な標的型攻撃者グループだけでなく、国家主体の攻撃者も重要インフラを標的にしており、監視制御システム（SCADA）全般が「産業設備へのアクセスや制御を拒否させる攻撃」の主要なターゲットになります。
SCADAシステムのソフトウェアを停止、中止、または破損させることに焦点を当てた大規模な攻撃はすでによく知られており、例えば、2010年に話題となったワーム型マルウェア「Stuxnet」が挙げられます。その他、2017年にはマルウェア「Triton」が、産業安全システムを標的にして運用停止を引き起こす攻撃に成功しました。もう1つの一般的なアプローチは、分散型サービス拒否（DDoS）攻撃であり、この攻撃は、インターネットに露出したネットワークを介して標的のシステムへアクセスを集中させ、無力化させることを目的としています。これらの攻撃は近年、より一般的になっており、引き起こされた混乱を利用して身代金を要求する恐喝を行ったり、さらに深刻な攻撃を隠ぺいするために使用されたりします。
これら相互接続のシステムが攻撃された場合、中断や生産遅延だけが最悪のシナリオではなく、それ以上に、大規模なサプライチェーンの影響や、安全上のリスクも深刻となります。SCADAシステムのセキュリティを確保するには、アタックサーフェス全体のさまざまな機器をカバーする多数のセンサーが必要です。また、サイバーセキュリティ計画を策定する場合には、人間と機械のインターフェース（HMI）、モバイルアプリケーション、通信プロファイルに対処する必要もあります。

だます（Deceive）

攻撃者は、運用者が対象システムを監視できない状態に仕向けることも可能です。このタイプの攻撃は、産業制御システムのさらなるエラーや遅延を引き起こしたり、OTネットワーク内で不正な活動を偽装したりするために実行され、アップデートのブロックからHMI（Human Machine Interface：システム管理者やオペレーターがシステム全体の状況を確認したり、制御したりするためのインターフェース）の無効化まで、さまざまなアプローチが駆使されます。2015年に発生したウクライナの電力網に対するサイバー攻撃では、ロシア系の攻撃者が、マルウェアを利用してHMI上の可視化を変更したと報告されています。
こうした「だます攻撃」の対象範囲の特定は、多くの場合に困難が伴います。特にこの手法が破壊工作やスパイ活動の偽装に使用される場合に難易度が増加します。この脅威を阻止するには、脅威の拡散を防止するように構築されたネットワークアーキテクチャをサイバーセキュリティ計画の主要な要素にする必要があります。この場合、仮想ローカルエリアネットワーク（VLAN）やファイアウォールでインターフェース間の露出を制限することで、攻撃者によるシステム妨害を阻止できます。

破壊する（Destroy）

OTシステムを狙う5つの攻撃手法の中で、最も有害なものは「破壊」という直接的な被害が伴うものです。攻撃者が産業用機器を遠隔操作したり、単にネットワークに侵入したりできる場合、機器を破壊する攻撃は、企業や組織側で想定されている以上に簡単かもしれません。例えば、コンピュータ数値制御（CNC）機械のスピンドルの微調整さえ行えば、機械を破壊し、現場の作業者を負傷させることにも繋がります。
OTネットワークを破壊する攻撃で発生する被害は明らかであり、そのような攻撃を可能にする弱点も、企業や組織側で想定されている以上に一般的になっているかもしれません。例えば、リモートアクセスを介して攻撃者がシステムに侵入し、ブレーカーを切ったり、タービンの速度を上げたり、バルブをスロットルしたりすることで、重要な機器を素早く損傷させることが可能です。この場合、サイバーセキュリティ計画に産業用侵入防止（IPS）および検出（IDS）システムを導入することで、攻撃活動によって作業員や設備へ物理的な被害が及ぶ前に不正活動を阻止できます。

参照資料

OTネットワークのセキュリティ対策において、業務効率と利便性とのバランスを考慮することは、企業や組織のCISOやSOCチームがサイバーセキュリティプランを策定する上で、直面する多くの課題の1つに過ぎません。一方、攻撃者が産業システムを標的にしていることは歴然たる事実であり、「起こるかどうか」ではなく、「いつ起こるか」という確実な問題です。
Trend Oneをはじめとする、ICSとOTツールとの統合をサポートするサイバーセキュリティプラットフォームは、これらの複雑な環境で状況認識を高め、脅威をより早く検出し、対応することができます。
また、OTネイティブのソリューションを用いることで、産業運用を保護することができ、資産のライフサイクル全体でのセキュリティ対策が可能となります。Trend MicroのTXOneは、複数の産業分野にわたって、ワークフォース、ワークロード、ワークプレイスのニーズを満たすセキュリティ対策を提供しています。

OTネットワークのセキュリティ対策の詳細については、以下の記事もご参照ください。
・トレンドマイクロ、「スマート工場に潜むセキュリティリスク実証実験レポート」を公開
 ・スマート化された産業制御システムに潜むサイバーセキュリティリスク実証実験の結果を公開
 ・基幹インフラへのランサムウェア攻撃を阻止する

本記事は2023年2月にUSで公開された記事の抄訳です。
翻訳： Core Technology Marketing, Trend Micro™ Research