電力会社において発電、送電、検針の処理を担うICS(産業用制御システム)環境は、従来からサイバー攻撃の標的となっています。ここ数年の事例を見ると、米国のニューヨークではダムの制御システムがハッキングを受けウクライナでは送電が停止する事態が生じています。

また、米国の電力会社、原子力関連企業、さらには水道事業者のオペレーティングシステムがマルウェアに感染したケースも確認されています。

電力会社がサイバー攻撃を受ければ、企業にも一般の人々にも大きな影響が生じると米国政府は認識しており、電力、石油、天然ガスを扱うインフラが同時にサイバー攻撃を受けた事態に備えるべく、国内の送電網が攻撃に耐えられるか今年の11月にテストを実施します

ユーティリティ事業者を標的するサーバー攻撃に対する不安が高まり、この攻撃の対処法に関心が集まっているその背景には、ICS(産業用制御システム)環境を狙う攻撃者の性格が多様化しているという事実があります。

APT攻撃を行うグループや国家レベルの攻撃者がICS(産業用制御システム)を標的とする攻撃に関与しているケースはこれまでも確認されていますが、その一方で、現在では、ICS(産業用制御システム)環境を狙う攻撃者の種類が増加しており、攻撃者のスキルもさまざまです。

サイバーリーズンは、大手電力会社の送電網にある変電所のシステムに見せかけてハニーポットを仕掛け、データを収集しており、このデータを解析したところ、上記のような事実が明らかになりました。

攻撃者の多様化に伴い、ICS(産業用制御システム)の資産をブラックマーケットのビジネスのネタにしようとする新たな動きも見られます。

通常、ICS(産業用制御システム)環境を狙った攻撃では、戦略的に標的を選択したり、探索を通じて行動を起こしたり、ネットワークのアクセス権を持つと考えられるユーザーを狙ったりしますが、サイバーリーズンのハニーポットを侵害した攻撃者はこれの行動の代わりに、ハニーポットの資産をダークウェブのフォーラムで売りに出していました。

また、ネットワークに侵入した後に攻撃者は、あらかじめ用意した手順に従い行動していますが、その手順も、ICS(産業用制御システム)を狙った従来の攻撃とは異なるものでした。いくつかの高度な手法を用いている一方で、つまらないミスもいくつか犯していたのです。

しかし、その迅速な行動から判断すると、攻撃者は、ユーティリティ事業者が導入しているセキュリティ対策や、ICS(産業用制御システム)の環境を熟知しており、IT環境からOT(オペレーションテクノロジー)環境へと移動する手段を理解しています。

そして、攻撃者の最終目的はOT環境にアクセスすることにあります。家庭やオフィスに電気を届ける設備を制御しているのが、OT環境にあるシステムだからです。ユーティリティ事業者は、そのOT環境ごとに異なり、電力会社であったり、ガス会社であった、水道事業者であたったりします。

サイバーリーズンの最高情報セキュリティ責任者(CISO)、Israel Barakは次のように述べています。

「ネットワークを標的とする侵害行為において不正に入手されたアクセス権限を売買する攻撃者とは異なり、ICS(産業用制御システム)ハニーポットのアクセス権限を購入した攻撃者は、ボットネットを通じたクリプトマイニングやスパム活動、DDoS攻撃などのような、標的を絞り込まない広範な攻撃には全く興味を示しませんでした」。

このケースでは、OTネットワークに侵入することだけが攻撃者の目的でした。

また、Barakは次のように語っています。
「ハニーポットに侵入した当初より攻撃者はICS(産業用制御システム)環境だけに狙いを定めていたようです。IT環境を拠点にしてOT環境へと移動する際には、コモディティ化していない技術や手法を駆使しており、手順も事前に準備していたと見られます」

一方、サイバーリーズンのインテリジェンス担当シニアディレクター、Ross Rusticiは次のように述べています。

「攻撃者は一定水準の巧妙さを見せていながら、その行動には未熟な点もあり、彼らのアプローチに改善の余地があることを物語っています」。

Barakの説明によれば、攻撃者は複数あるハニーポットサーバーの1つでセキュリティツールを無効にしており、これにより「大量のノイズ」を発生させています。実際の企業の環境で同じようにノイズを発生させたとしたら、セキュリティチームがこれに気付くといいます。

「ICS(産業用制御システム)環境だけに狙いを定め、ほかの標的はすべて無視して行動し、ネットワークを上手く利用して攻撃活動を行っているといった点は非常に巧妙であると言えます。このようなレベルの攻撃は通常、ハニーポットの環境では見られないものです。しかし、攻撃の相手に警戒を抱かせ攻撃を気付かれるようなミスを複数犯しており、これでは、レベルの高い攻撃者と認めるわけにはいきません。ICS(産業用制御システム)環境にATP攻撃を仕掛ける攻撃者の場合、このような未熟な行動を取ることはありません」とRusticiは語ります。

ブラックマーケットで売りに出された変電所のハニーポット。IT環境とOT環境に攻撃者がアクセス

ハニーポット環境は、今年の第2四半期の終わり頃に稼働を開始しました。この環境には、一般的な変電所のシステムに見立てたネットワークアーキテクチャが用意されており、これは、IT環境、OT環境、ヒューマンマシンインターフェース(HMI)の管理システムから構成されています。このハニーポットの環境には、異なる環境を分離するといったような一般的なセキュリティ制御の機能を準備しました。

さらにハニーポットには、攻撃者をおびき寄せるための「餌」を仕掛けています。インターネットに接続された3台のサーバー(Sharepointのサーバー、SQLのサーバー、ドメインコントローラー)、RDPやSSHといったリモートアクセスサービス、脆弱なパスワードなどです。

サーバーのDNS名の登録を行い、よく知られた大手の電力会社の名前に似せたあだ名を環境の内部IDに使っている以外は、サーバーに攻撃者をおびき寄せる仕掛けは何も施していません。

ハニーポットが稼働してから2日経った時点で当社は、ブラックマーケットの商人がこのハニーポットを見つけ出したと判断しました。環境内にあるツールがインストールされていたからです。

このツールはxDedic RDP Patchと呼ばれるツールで、xDedicというブラックマーケットで販売されている資産のなかでよく見かけるものです。このツールを用いると、攻撃者も攻撃を受けた相手も、リモートデスクトッププロトコル(RDP)を通じ、同じ認証情報で同時にマシンにログインできてしまいます。

ハニーポットのサーバーには、ユーザーを追加で作成してバックドアも仕掛けられていました。この情報からも、ハニーポット内の資産をxDedicで売り出す準備が進められていることがわかります。サーバーへの不正アクセスができないように管理者のパスワードを変更したとしても、バックドアがあれば、資産の新しいオーナーはハニーポットにアクセスできるというわけです。

「新しいオーナー」が環境にアクセス

次の数日間、ハニーポットは、クリプトマイニングのボットやフィッシングを行うボット、DDoS攻撃のボットから攻撃を受けました。インターネットに接続された資産が受ける典型的な攻撃です。

そして、ハニーポットを稼働してから10日が過ぎた時点で、新しいオーナーになったと思われる攻撃者がハニーポットにアクセスしてきました。ブラックマーケットの商人が設置したバックドアの1つを使っています。

そして、この件の取引はどうやら非公開のチャネルを通じて行われたようです。代金の支払いがどのように行われたのか、当社では情報を掴むことができなかったからです。

攻撃を防ぐことのできる強固なセキュリティ対策は存在するか?

IT環境からOT環境に移動しようとしてファイアウォールに阻止された攻撃者は、マルチポイントのネットワーク探索プロセスを用いて抜け道がないか探り始めました。このアプローチは、環境内の資産ごとに別々に、セグメンテーションのポリシーやネットワークアクセスのポリシーが用意されていると仮定しています。

たとえば、一般的なIT/OT環境では、IT環境にホストされている特定の資産(監視システム、データリポジトリ、ファイルサーバーなど)に、OT環境からアクセスができます。

攻撃者は、マルチポイントのネットワーク探索機能を用いて、複数の資産のあいだでラテラルムーブメントを行い、ネットワークの探索プロセスを平行して実行しています。そして、これにより、OTネットワークのコンポーネントやHMIのコンポーネントにアクセスできる資産を特定していたのです。

攻撃者はリモートサーバーから、Sharepointのサーバー、ドメインコントローラー、SQLサーバーへと順に移動し、ネットワークの探索機能を実行して、これらのどの資産ならICS(産業用制御システム)環境へアクセスできるのか判断していました。

そして、攻撃者は、ネットワークを完全にスキャンすることはせず、HMIのコントローラーやOTのコントローラーにアクセスできる資産を見つけ出すことに的を絞ってスキャンを行っています。

Barakは次のように語っています。「2日間で攻撃者は、ハニーポットの環境に侵入し、IT環境からOT環境へとアクセスできるエントリーポイントを見つけ出そうと探索を行っていますが、このエントリーポイントこそ、まさに攻撃者が求めていたものなのです」

このケースからセキュリティプロフェッショナルが学ぶべきこと

Barakのアドバイスによれば、ICS(産業用制御システム)環境を運用している組織や企業は、そのIT環境やOT環境の状態を詳細に把握できる統合セキュリティオペレーションセンター(SOC)を設けるべきだといいます。今回のハニーポットの事例が示すように、OT環境に出入りするためのゲートウェイとして、攻撃者はIT環境を利用しようとします。

「企業によっては、OT環境を監視するネットワークオペレーションセンター(NOC)があるかもしれません。しかし、統合SOCがあれば、ネットワーク内を動き回る攻撃者の挙動をすべて把握することができます。このようなレベルの可視性を持つことが重要なのです。攻撃者はIT環境をスタート地点として、そこからOT環境へと移動するからです」とBarakは語っています。

そしてBarakは、脅威ハンティングが不可欠であるとも述べています。脅威ハンティングでは、攻撃者がすでに環境内に侵入していることを表す情報を探します。セキュリティツールが発するアラートに事後的に対応するのではなく、プロアクティブなセキュリティアプローチが、脅威ハンティングでは可能になります。ネットワークが攻撃者から大きな被害を受ける前に、攻撃を検知できるのです。

さらに、ハニーポットで確認された今回の事象からは、攻撃者の犯したミスが原因となり現実の世界に問題の生じる危険が高まっていることがわかります。このようなリスクは著しく増大していますが、そのような状況を生み出しているのは、この種の環境の攻撃に関し十分なトレーニングを積んだ、ATP攻撃に従事する攻撃者ではなく、自己顕示欲でICS(産業用制御システム)環境を狙う攻撃者です。

Rusticiは次のように語っています。「今回のプロジェクトで得られた最大の教訓は、さまざまなレベルの攻撃者がICS(産業用制御システム)環境に興味を示しているという事実です。これは、このようなタイプのシステムを運転する現場で、リスクが増大していることを意味します。セキュリティの基本は問題が拡大する前にどのような手を打つかにあります」

ICS(産業用制御システム)の多くは老朽化しており、システムが脆弱であるため、十分な訓練を積んだハッキング部隊でもその活動において、システムの制御に支障を及ぼすミスを犯します。そして、有名になりたい、システムに侵入する能力があることを証明したいといった動機で攻撃を行うハッカーの場合は、悪意があるからではなく無知ゆえに、トラブルが起こす可能性がさらに高くなっています。

そして、Rusticiによれば、このような要素の影響により、問題の対応や問題の内容の特定が難しくなっているばかりか、現実の世界に思いもよらない影響が生じるリスクがこれまでよりずっと大きくなっているといいます。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」