• 米国時間2018年9月4日に掲載されたフォーティネットセキュリティブログの抄訳です。
  執筆者：Peter Newton
  2018年9月19日

フォーティネットが発表したばかりのFortiNACが、進化を続ける今日のネットワークを保護する統合セキュリティソリューションポートフォリオに加わりました。運用を効率化するためにデジタル変革を進めている企業は、増加を続けるIoTデバイスをサポートおよび保護する必要性に直面しています。実際、固定型およびモバイルIoTソリューション両方の導入が迅速に広がっていることが、今日のネットワークが絶えず変化している主な理由の1つになっています。

Gartnerは、「IoTエンドポイントは、2016年から2021年にかけて32%のCAGRで成長を続け、インストール台数としては251億台に到達する」⁽¹⁾と見込んでいます。IoTと言えばデジタルカメラ、プリンター、スマートアプライアンスを思い浮かべる方が多いと思いますが、今日のIoTには産業向けIoT（IIoT）、医療向けIoT（MIoT）も含まれており、現在すべての垂直市場向けに同様のIoTソリューションが開発されています。そして状況を複雑化させるべく、これらのデバイスは相互接続と相互依存が進んでいます。IoTデバイスは膨大な量のデータを生成し、絶えず更新されるアプリケーションを使用して稼働し、重要なリソースへの頻繁なアクセスを必要とします。そのためITチームは、IoTデバイスを特定、追跡、監視、保護するために悪戦苦闘しています。

サイバー犯罪コミュニティがこの傾向に気づかないはずはありません。最近発生したTritonおよびVPNFilterマルウェア攻撃からも明らかなように、IoTデバイスを狙った攻撃は件数が増加し、精度も高まっています。

IoTセキュリティの開始点はきめ細かいアクセス制御

IoTはまだ比較的新しい市場ですが、MiraiボットネットやBrickerbotなどによる攻撃の結果、一部のIoTデバイスは特にエクスプロイトに対して脆弱であることをすでに露呈してしまいました。しかしIoTデバイスは、組織の潜在的な攻撃対象領域を拡大させるだけではなく、社内のプロビジョニング、管理、コンプライアンスにかかるコストも上昇させます。こうした課題に対応するために、IoTデバイスにはネットワークアクセス時に独立した安全なネットワークセグメントを自動的に割り当てる必要があります。また、割り当てられたプロファイルに違反したデバイスは、即座に削除または検疫されなければなりません。こうしたニーズを考えると、包括的なセキュリティ戦略にとってアクセス制御は基本的な要件と言えます。

FortiNACは、拡大するこの問題に対処するために今日の組織が必要とする幅広い可視性ときめ細かい制御を提供し、ネットワークに接続されているすべてのIoTデバイスをシームレスかつ自動的に保護します。

そのために、まずFortiNACはネットワークに接続されているデバイスに関する情報を自動的に収集してデバイスプロファイルのライブラリとマッチングし、デバイスにポリシーを適用します。これにより、分散ネットワーク内のあらゆる場所にあるすべての接続デバイスを認証するだけでなく、接続が許可される人、モノ、時間、場所、方法を定義するコンテキスト主導型ポリシーもデバイスに適用します。これらのルールはその後ネットワーク全体に配布されるため、これらのデバイスがアクセスできるのは、許可されているアプリケーション、インフラストラクチャセグメント、資産に制限されます。次に、FortiNACによって認証済みのIoTデバイスが特定のネットワークセグメントに割り当てられます。このセグメントにより、IoTデバイスとアプリケーションは本番ネットワークの外に分離されます。

FortiNACはフォーティネットセキュリティファブリックの重要な構成要素としても機能

FortiNACは、ネットワークを移動するIoTデバイス、そしてそのデータとアプリケーションを絶えず監視できるため、これらの要素を確実に企業ポリシーに準拠させることができます。またセキュリティファブリックの統合コンポーネントとして、FortiNACは、分析や修復のためのデバイスの検疫、アクセス制御やルールセットの更新を含む封じ込めアクションをマシン速度で自動的に実行します。したがってセキュリティネットワークは、デバイスステータスのあらゆる変更を特定し、即座にアクションを講じることが可能になります。たとえば、セキュリティファブリックが突然データの要求を開始したデジタルカメラを特定した場合、FortiNACは即座にこのデバイスを隔離し、詳しい検証のためにフラグを立てることができます。また、デバイスが単独で侵害されるケースは少ないため、セキュリティファブリックは脅威インテリジェンスを自動的に相関付け、侵害された可能性がある他のデバイスを特定した後、動的にFortiNACを活用してこれらのデバイスも隔離します。

まとめ

ネットワークに接続するIoTデバイス数の増加に伴って、セキュリティ侵害に関連するリスクも増大を続けています。FortiNACは、この課題に対処するために、ネットワークのアクセスポイントですべてのデバイスを特定し、安全なネットワークセグメントにデバイスを割り当てるので、デバイスからのアクセスは許可されているリソースのみに制限されます。またFortiNACは、フォーティネットセキュリティファブリックの構成要素として、これらのデバイスを絶えず監視し、脅威を自動的に検知して対処します。IoTの世界において、FortiNACはネットワーク上に何があるかという質問に回答するだけでなく、IoTデバイスが拡張ネットワークの一部になったときに組織のデジタルビジネスに求められる統合的かつ自動的な保護も提供します。

(1) Gartner、「Forecast: Internet of Things -- Endpoints and Associated Services, Worldwide, 2017」、著者：Peter Middleton、Tracy Tsai、Masatsune Yamaji、Anurag Gupta、Denise Rueb、2017年12月21日

Gartnerでは、リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨することを意図していません。また、最高の評価を得たベンダーのみを選択するようテクノロジーの利用者に助言することも意図していません。Gartnerのリサーチ発行物は、Gartnerのリサーチ組織の見解を表したものであり、事実を表したものではありません。Gartnerは、明示的または黙示的を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行いません。

• 米国時間2018年8月20日に掲載されたフォーティネットセキュリティブログの抄訳です。
  執筆者：Jasper Manuel, Rommel Joven
  2018年9月7日

数日前、FortiGuard Labsのチームが、ロシア語話者向けに作られたCVE-2017-0199につけいる、悪意のあるPPSXファイルを発見しました。ファイル名は「Выставка」となっており、訳すると「Exhibition」となります。さらに調べていくと、PPSXファイルはロシアで毎年開催されている Army 2018 International Military and Technical Forumという展示会を標的としているようでした。これは軍事兵器や特殊装備を扱う最大規模の展示会の1つであり、ロシアだけでなく、世界で開催されている同様の展示会のなかでも、特筆すべきイベントです。この展示会は2018年8月21日から26日まで開催される予定だったため、今回の悪意のある文書の発見は非常にタイムリーなものでした。

このマルウェアのもう1つ興味深い要素が、以下の一文です。

簡単に訳すと、次のようになります。:

「＜偵察と迅速なアクションを組み合わせた軍隊＞向けの現代かつ未来の軍事兵器、特殊装備のサンプルを揃えた非公開の展示会です」

このイベントは誰でも参加できるものですが、去年の主催者は非公開の「デモンストレーション」を含む特別展示会を設置していました。これは厳選された招待客向けのものであり、大型航空機やミサイルなど、機密扱いの装備の展示が行われる場所です。そう考えると、この悪意のある文書は、こうした非公開のイベントに招待されたい人、あるいはすでに招待されている人たちを標的としたものだと考えられます。今年の展示会はすでに、海外から66の代表団が参加を表明しています。では、PPSXファイルがどのように未パッチのシステムの侵害を行う可能性があるのか、見ていきましょう。

分析

まず、CVE-2017-0199 につけいり、おとりファイルを開く悪意のあるPPSXファイルを見ていきましょう。CVE-2017-0199はHTA（HTMLアプリケーション）脆弱性であり、ユーザーが、エクスプロイトが埋め込まれた文書を開くと、悪意のるアクターがPowerShellコマンドを含むスクリプトをダウンロードして実行できるようにするものです。この脆弱性を悪用するAPTに出くわしたのは、今回が初めてではありません。実は、これまでの攻撃では国連機関や各国外務省、国際政府とやり取りのある人や組織が標的とされてきました。

PPSXファイルが開かれると、ppt/slides/_rels/slides1.xml.relsのスクリプトがトリガーされます。その後、このエクスプロイトは図4に示すように、リモートサーバーから別のコードをダウンロードし、PowerPoint Showアニメーション機能を使ってそれを実行します。

下の図は、XMLファイルに埋め込まれたPowerShellエクスプロイトの実行が成功し、%Temp%に実行可能なペイロードをダウンロードした後、リモートサーバーから送られたコードです。

実行されると、Defender.exeが以下のファイルをドロップします。

• SynTPEnh - BISKVITマルウェアパッケージが入ったディレクトリ
• Csrtd.db - autorunインストールのため、DevicePairing.exeが使用する暗号化された構成ファイル

  

• DevicePairing.exe - コード内では「AutorunRegistrator」としても特定され、SynTPEnhディレクトリを%appdata%にコピーして、それをautorunレジストリエントリーに追加する機能を持つ
• DevicePairing.exe.config - ランタイム構成ファイル
• Kernel32.dll - BISKVITマルウェアの共通ライブラリ
• Newtonsoft.Json.dll - .NET向けの一般的なJSONシリアライザー

BISKVIT

BISKVITトロージャンは、C#で書かれたマルチコンポーネントのマルウェアです。このマルウェアは、コードで使われている名前空間に「biscuit」という単語が含まれていることから、私たちはこれをBISKVITと呼ぶことにしました。残念ながら、今回のものとは関係のないBISCUITというマルウェアが既に存在するため、biscuitのロシア語であるBISKVITを代わりに使用することにしました。

BISKVITはモジュール型であることから、機能のすべてを完全に把握することは困難です。なぜなら、コンポーネントはすでにダウンロードされており、すでに攻撃者の側へとロードされてしまっているからです。この記事の執筆時にダウンロードできたのは、1つのコンポーネントのみでした。これまでに入手できたコンポーネントのコードを見てみると、このマルウェアは以下のことが可能ですが、これだけに限りません。

• ファイルやコンポーネントをダウンロード
• ダウンロードしたファイルやローカルファイルを隠れて／こっそり実行
• 動的な構成ファイルのダウンロード
• 自身のアップデート
• 自身の削除

BISKVITマルウェアは上で述べたように、%temp%フォルダから%appdata%\ SynTPEnhにコピーされます。以下は%appdata%\SynTPEnhフォルダのコンテンツです。

• SynTPEnh.exe - BISKVITマルウェアのメインファイル
• Csrtd.db - 暗号化された構成ファイル
• SynTPEnh.exe.config - ランタイム構成ファイル
• Kernel32.dll - BISKVITマルウェアの共通ライブラリ
• Newtonsoft.Json.dll - .NET向けの一般的なJSONシリアライザー

BISKVITのメインファイルはユーザーの疑いを避けるため、正規のSynaptics Pointing Device Driverファイルを装います。

実行されると、基本構成が初期化されます。そこには以下の情報が含まれます。

その後、csrtd.dbという名前の構成ファイルをロードし、復号します。この構成ファイルは、以下のキーを使ってAESで暗号化されています。

復号されると、この構成ファイルにはC&Cサーバー、マルウェアがC&Cサーバーからのジョブのチェックに使用する時間間隔、APIキー、RSAキー情報が含まれています。RSA暗号化手法に対するコード参照は見当たりませんでしたので、この記事の執筆時にまだ入手していない他のコンポーネントが使用しているものと思われます。

C&Cとの通信

このマルウェアは、JSON形式を使ってREST APIを介してC&Cサーバーと通信を行います。まず、APIキーを送信してアクセストークンを入手します。構成ファイルに指定されていなければ、このAPIキーは感染したマシンのCPU、ディスクドライブ、MACアドレス情報から生成されます。このAPIキーは、マシンの特定にも使用される独自のIDとなります。

このAPIキーは、API /api/auth/tokenに対するHTTP POSTリクエストを介してC&Cサーバーに送信されます。

サーバーは、セッション全体で使われることになるアクセストークン情報を返します。

そしてこのマルウェアは、Jobs APIを介して攻撃者からコマンドを受け取り、それを実行します。API /api/job にHTTP GETリクエストを送信し、構成ファイルで設定された間隔の通りに、特定の時間が過ぎたところでジョブを入手します。

レスポンスは、id、resultUri、tasks、executionOptions という4つのメインキーが入ったジョブになります。

• id - ジョブID
• resultUri - マルウェアがジョブの結果をHTTP POSTする場所
• executionOptions - 特定の時間間隔でパッケージを実行すべきか、そして起動時にスタートすべきかをマルウェアに伝える
• tasks - このキーには、攻撃者が感染マシン上でダウンロードし、実行したいパッケージ（コンポーネント／その他ファイル）に関する情報が含まれる

キーtasksの executeModeが、マルウェアにパッケージの実行方法を伝えます。

モードが0の場合、パッケージはコンポーネント／ライブラリとして扱われ、 parameters キーで指定されるパラメータで実行されます。

モードが1の場合、パッケージはファイルとして扱われ、ShellExecuteEx()かCreateProcess() Windows APIを使い、WindowStyleをHiddenに、CreateNoWindowをTrueに設定して実行されます。

モードが2になっている場合には、パッケージはファイルとして扱われ、CreateProcessAsUser() Windows APIを使用して実行されます。

このマルウェアのもう1つ興味深い機能が、 534faf1cb8c04dc881a3fbd69d4bc762というフォルダにローカルでジョブを保存するという点です。

ジョブは構成ファイルのものと同じAES暗号を使って暗号化されており、ジョブIDを使い、拡張子.db で名前が付けられています。つまり、現在のプロセスが妨害されたり、終了されたりした場合でも、マルウェアの次の実行でジョブを実行し続けることができるということです。ジョブを完了すると、このマルウェアはローカルで保存したジョブを削除します。

分析の際、このマルウェアはexecuteMode が0に設定されたパッケージをダウンロードするジョブを受け取りました。つまり、このパッケージは、 /api/package/5b61b91da99a25000198dfccからダウンロードできるコンポーネント／ライブラリだということです。

ジョブで指定されたdownloadUriのパッケージは、PKヘッダーのついたzipファイルになりました。

パッケージは、フォルダ083c57797944468895820bf711e3624fに保存されます。

どのコンポーネントがダウンロードされたかを確認してみると、FileExecutorというコンポーネントであることがわかりました。これは parameters キーで指定されるファイルを単純に実行するものです。

このFileExecutor コンポーネントは、1に設定された executeMode と同じ機能を有しています。これはWindowStyleがHiddenに設定され、CreateNoWindowがTrueに設定された状態でShellExecuteEx()かCreateProcess()を使ってファイルを実行するものです。上のジョブでは、Waittime キーに指定されている通り、タイムアウトが30秒に設定されている状態で、マルウェアに FileExecutorcomponentを使って「systeminfo」を実行するよう伝えます。

コマンドsysteminfo は、コンピュータとそのオペレーティングシステムに関する詳細な構成情報を表示します。そこにはオペレーティングシステムの構成、セキュリティ情報、製品ID、ハードウェアのプロパティ（RAM、ディスクスペース、ネットワークカードなど）などが含まれます。

C&Cが実行中のジョブの状況を把握するため、以下に示す値を含むキーStateも含まれています。私たちの分析中に送信されたデータには、2と同等のStateが含まれていました。つまり、完了したということです。

systeminfo のジョブの後は、攻撃者がジョブを送信したマシンが、分析用のマシンであることに気づいたようで、C&Cはジョブの送信を停止しました。つまり、この攻撃を行っている者は、標的ではないコンピュータを感染させないように、そしてアラートを避けるように、非常に慎重だということです。

標的型攻撃に使用されるC&Cサーバーが、被害者のコンピュータの基本情報を回収した後に突如、反応しなくなるのは新しいことではありませんが、ここで使われているC&Cは完全に通信を遮断したわけではありません。ただ、ジョブの送信をストップしただけです。そのため、リサーチャーやアナリストは今後もC&Cの監視を続けていくことができます。

低いAV検知率

マルウェアファイルは圧縮も難読化もされていないのに、ファイルを検知できたのはフォーティネットなどの少数のAVベンダーのみでした。

結論

注目度の高い標的を狙うために、おとりとして現在進行中や今後のイベントを使用するという方法は、攻撃者たちの間でますます一般的に用いられるようになっています。

今回の調査結果から、悪意のあるデコイファイルがタイミングよく配信されたこと、そして一度も使われたことがないマルウェアが使用されたことを考えると、計画性の高い攻撃であると思われます。こうした2つの方法により、標的を侵害できる可能性が非常に高くなります。

ソリューション

フォーティネットでは、BISKVITマルウェアの全コンポーネントをW32/BiskvitLoader.A!tr、MSIL/BiskvitAutoRun.A!tr、MSIL/BiskvitLib.A!tr、MSIL/Biskvit.A!tr、MSOffice/Exploit.CVE20178570!trとして検知しています。

このマルウェアに関連する悪意のあるURLは、FortiGuard Webフィルタリングサービスでブロックされています。

ユーザーの皆さんは、CVE-2017-0199に対してMicrosoftからリリースされているパッチを必ず適用するようにしてください。

エクスプロイト文書のコンテンツをロシア語から英語に翻訳してくれたEvgeny Ananinに感謝します。

IOC

be7459722bd25c5b4d57af0769cc708ebf3910648debc52be3929406609997cf
a87daccbb260c5c68aaac3fcd6528f9ba16d4f284f94bc1b6307bbb3c6a2e379
b4a1f0603f49db9eea6bc98de24b6fc0034f3b374a00a815b5c906041028ddf3
934542905f018ecb495027906af13cc96e3f55e11751799f39ef4a3dceff562b
23a286d14de1f51c5073caf0fd40a7636c287f578f32ae5e05ed331741fde572

CC

hxxp://bigboss.x24hr.com
hxxp://secured-links.org/

最新の脅威レポートは、こちらからダウンロードいただけます。

FortiGuard Labsでは、脅威インテリジェンス情報（英文）を毎週お届けしていますので、ぜひご購読ください。

• 米国時間2018年8月16日に掲載されたフォーティネットセキュリティブログの抄訳です。
  執筆者：Kai Lu
  2018年9月6日

マルウェア分析者として、そしてセキュリティリサーチャーとして、パワフルかつ動的な分析ユーティリティは、効果的かつ効率的にマルウェアを特定するうえで非常に重要です。FortiAppMonitorは、macOSのプログラムの挙動を監視することを目的として、フォーティネットが開発し、リリースしているフリーウェアユーティリティです。これを利用することで、ユーザーはマルウェアの能力を把握し、macOSを標的とするマルウェアの悪意のある挙動を迅速に解析することが可能になります。このユーティリティには以下のような機能が含まれています。

1. コマンドライン引数とprocess exit関数でプロセス実行を監視
2. ファイルを開く、読む、書く、削除する、名前を変更する、などの操作を含め、すべての共通ファイルシステムイベントを監視
3. IPv4とIPv6の両方のUDP、TCP、DNSクエリおよびレスポンス、ICMPなどのネットワークアクティビティを監視
4. .dylibのロードイベントを監視
5. KEXTのロードおよびアンロードイベントを監視

また、ユーザーが興味のあるイベントタイプに対してフィルターを設定できるよう、きめの細かいフィルターを提供するだけでなく、ユーザーがキーワードをもとに記録から迅速なサーチを行えるようなパワフルなサーチ機能も提供します。また、JSON形式のファイルにすべての記録を保存できます。さらに、こうしたFortiAppMonitorの機能はすべて、操作の容易なGUIデザインでアクセス可能です。また、GUI画面の特定の単一の記録を、ショートカットキー「Command+C」を使ってクリップボードにコピーできます。

このユーティリティは、FortiGuard LabsのリサーチャーであるKai Luが、Black Hat USA 2018にて「Learn How to Build Your Own Utility to Monitor Malicious Behaviors of Malware on macOS」というタイトルのプレゼンテーションを行った際に実演したものです。このプレゼンで、KaiはmacOSカーネルのマルウェアの悪意のある挙動を監視する、高度なソリューションを発表しました。さらに参加者に対し、このユーティリティの実装に関する主な技術的詳細もすべて解説しました。ご興味のある方は、こちらからプレゼンテーションのスライドをダウンロードいただけます。

フィードバックの送信やバグの報告は、fortiappmon@fortinet.comまでお願いいたします。

FortiAppMonitorのスクリーンショット:

サポートしているOSバージョン

• macOS 10.11 (OS X El Capitan)
• macOS 10.12 (macOS Sierra)
• macOS 10.13 (macOS High Sierra)
• macOS 10.14 (macOS Mojave, Beta)

Changelog

• 最新バージョン：FortiAppMonitor.app 1.0.0
• リリース日：2018年8月15日
• ファイルサイズ：52.1 MB
• SHA-1: 6DDA29A5B96B5AB9AC64471B94600FFD8024398C

ダウンロード

• FortiAppMonitor_v1.0.0

最新のグローバル脅威レポートは、こちらからダウンロードいただけます。

また、FortiGuard Labsでは、脅威インテリジェンス情報（英文）を毎週お届けしていますので、ぜひご購読ください。

• 米国時間2018年8月14日に掲載されたフォーティネットセキュリティブログの抄訳です。
  執筆者：Peter Newton
  2018年9月5日

多くの政府機関や民間組織がSCADA（監視制御・データ収集システム）や産業制御システム（ICS）を導入しています。こうしたテクノロジーには利点がありますが、重大なセキュリティ課題もあります。フォーティネットの依頼でForresterが最近行った調査では、SCADAあるいはICSを使用している調査対象10の組織のうち6近くが、この1年でこうしたシステムにおけるブリーチを経験したということです。

こうしたシステムが従来のOT（運用技術）インフラストラクチャーだけでなく、新たな産業用モノのインターネット（IIoT）デバイスの管理にも使われていることも、課題の1つです。さらに、これらの組織の多くが新たなテクノロジーやパートナー企業に対し、自分たちのシステムへの高いレベルのアクセスを提供していることで、リスクが増しています。また、ほとんど組織が、従来のITシステムとSCADA/ICSとの接続を構築していると報告しており、外部のハッカーがこうした制御システムへの侵入を試みる可能性があります。

急速な導入、アクセス、そしてセキュリティ

SCADA/ICSシステムはかつて、主に電気、水道施設で使用されていましたが、近年は多くの組織がこうしたテクノロジーを、データ収集や関連設備の自動化に活用するようになってきました。Transparency Market Research では、世界のICS市場だけを見ても、2014年は580億ドルだったものが、2021年には810億ドルに成長するだろうと予測しています。例えば、産業制御システムは製造業や海港、水処理工場、石油パイプライン、エネルギー会社、建物環境制御システムで幅広く使用されるようになっています。同時に、ICSに対するグラフィカルなユーザーインターフェイスとして機能するSCADAシステムは、年間6.6%という成長率で拡大しています。

その結果、SCADA/ICSテクノロジーや関連IIoTデバイスは、事業運営を妨害したり、ランサムを回収したり、あるいはライバル国の重要インフラの侵害を行おうとするハッカーたちにとっては、高価値の標的となってきました。Forresterの調査によれば、SCADA/ICSを使用する組織のなんと56%がこの1年でブリーチを報告しており、さらに驚くことに、ブリーチを一度も経験したことのない組織はたったの11%だったということです。

第三者がSCADA/ICSに容易にアクセスできることが、この問題の重大な要素となっています。多くの組織では、自分たちのテクノロジーベンダーやその他外部組織に自分たちの社内システムへの幅広いアクセスを提供するうえで、彼らのセキュリティに大きな信頼を寄せています。Forresterが調査した10の組織のうち6以上が、パートナー組織や政府組織に完全なアクセス、あるいは高いレベルのアクセスを提供しています。このように、SCADA/ICSの運用者は重大なリスクに直面していますが、その多くは自分たちが招いたものなのです。

脅威とブリーチ

Forresterの調査では、SCADAを運用する組織に、最も深刻なセキュリティ脅威について尋ねました。組織の4分の3以上が、外部のマルウェアに対し、大きな懸念を抱いています。10の組織のうち7つの組織が、内部ハッカーやセンシティブなデータの漏出、外部ハッカーに大きな懸念を抱いています。

SCADA/ICSのブリーチは一般的なだけでなく、深刻な影響を伴います。従来のITネットワークとは異なり、OTネットワークは、侵害を受けると破滅的な結果をもたらす可能性のあるシステムの管理や制御を行っています。在庫の監視を行っているIoTデバイスが侵害を受けた場合と、化学工場で50,000ガロンのボイラーにおける温度管理システムの監視や管理を行っているIIoTデバイスでは、脅威が大いに違ってきます。

その結果、63%の組織が、SCADA/ICSのセキュリティブリーチによって社員の安全性が大きく、重大な形で影響を受けたとしています。また、58%が、組織の財政面の安定に大きな影響が出たと答えており、63%が、十分なレベルで運用を行う能力が大きく妨げられたとしています。

セキュリティとコンプライアンスに対処

こうしたセキュリティ問題への対応は様々です。調査した組織の半分近くが、ビジネスリスクや運用リスクの完全評価を、OTとITシステムが融合するなか自分たちのリスクポスチャーを改善するための一番の方法だと考えています。リスクを緩和するためのその他一般的な方法には、共通基準の導入や、デバイス管理の一元化の強化、Industrial Control Systems Cyber Emergency Response Team（ICS-CERT）などの政府機関への相談などがあります。業界標準や安全基準の遵守も、上位の関心事となっています。

セキュリティ向上に向けた対策

SCADA/ICSの運用者は自分たちの資産を守るために、どのセキュリティ対策に予算をつぎこむべきかを考慮し、下記のようないくつかの対策を講じることができます。

• スイッチやルーター、ワイヤレスネットワーク、IoT/IIoTデバイスを含め、ネットワークインフラストラクチャーの安全を確保し、未使用のポートや機能はオフ状態にするか無効にしてデバイスの適切なハードニングを行う。
• 可能であれば、接続しているワイヤレステクノロジーおよびIoT/IIoTテクノロジーをSCADA/ICSシステムから分離し、ネットワークのセグメンテーションを行う。
• ネットワークにアクセスする必要のある外部の人を管理、監視する、ネットワークのなかで社員がアクセスする必要のない部分にアクセスするのを防ぐ、そしてネットワークに接続しているIoT/IIoTデバイスを制御、管理するため、アイデンティティおよびアクセス管理ポリシーを適用する。
• IoTやその他デバイスにもエンドポイント保護をデプロイし、脅威に対する可視性を確立する。

SCADA/ICSのセキュリティにおける検討事項は、社員や顧客、コミュニティの物理的安全性への攻撃の潜在的な影響から、従来のITシステムよりも優先度が高くなります。ブリーチの影響は非常に深刻なものとなる可能性があるので、しっかりとした対応を行う必要があります。幸いなことに、組織はSCADA/ICSセキュリティに対する多層型アプローチを取ることで、セキュリティポスチャーを大幅に高め、リスクを軽減させることができます。

本記事はもともと、 Dark Readingに掲載されたものです。

「Independent Study Pinpoints Significant SCADA/ICS Cybersecurity Risks（英語）」の全文はこちらで閲覧、ダウンロードいただけます。

運用制御（OT）環境の安全確保における独自の課題と、フォーティネットの役立つソリューションに関しては、こちらをご覧ください。

• 米国時間2018年8月7日に掲載されたフォーティネットセキュリティブログの抄訳です。
  執筆者：Nirav Shah
  2018年9月4日

現在、様々な業界の企業が、顧客の利便性、アクセスの容易性、接続性に対する需要の増大に対処するため、デジタル変革を実施しています。しかし、企業がデジタルサービスを拡大するために導入するクラウドベースサービスの利用が増え、ネットワーク間で使用するSSLトラフィックの量がそれに比例して増加しています。実際、NSS Labsでは来年までに、企業におけるトラフィックの約75%が暗号化されると予測しています。

今日の増加するSSLトラフィックの安全を確保するという点で、NGFWソリューションは今後も基盤となるセキュリティソリューションとして機能していきます。ですが、皆さんのお客様は、効果的なセキュリティポスチャーを維持する能力を危険にさらすことなく、デジタルサービスを拡大させることができるような、モダンなファイアウォールソリューションを必要としています。そのためには、ファイアウォールソリューションは高速のSSLインスペクションと同時に、現在の高度なサイバー脅威や、高性能なデジタルビジネスの需要に対応していくことができるような脅威検知および保護機能を提供できなければなりません。

このように、SSL暗号化トラフィックをアクティブに保護できるNGFWに対する緊急の必要性があるにもかかわらず、一般的に利用可能な競合ソリューションのほとんどが、SSLのインスペクションを行うことでNGFWソリューションのパフォーマンスを損ねています。また、ベンダーのほとんどはSSLパフォーマンスの数値を公表していません。

そう考えると、FortiGate次世代ファイアウォールソリューションが、5年連続でNSS Labsの「Recommended（推奨）」評価を獲得したことを、私たちは誇りに思います。高いSSLパフォーマンス、100%という正確な回避テクニック検知、最適な総所有コストを示した第三者検証により、皆さんのお客様にまさに最善のサイバーセキュリティソリューションを提供できるということがはっきりと証明されました。

SSL暗号化トラフィックの安全を確保

昨年1月、暗号化トラフィックが初めて、非暗号化トラフィックの量を超えましたが、その後も衰える気配はなく、増大を続けています。しかし、ユーザーの多くはいまだに、トラフィックが暗号化されているから、本質的に安全だろうという前提のもと運用を行っています。残念ながら、これは真実ではありません。ネットワーク上のあらゆる攻撃ベクトルと同様に、サイバー犯罪者は常に、脆弱性につけいる新たな革新的方法を模索しています。

さらに、当社の第1四半期脅威レポートでは、検知されたユニークなエクスプロイト上位20の16.8%が、悪意のあるコードを隠し、データの盗取を行うため、SSLで暗号化されたトラフィックを使っていることが明らかになっています。SSLトラフィックを脅威から適切に保護するためには、フルSSLインスペクションをアクティブに実施できるソリューションが必要です。これは、データの復号、そのデータにおける潜在的な脅威の検証、そして適切な受信者に安全に送信できるよう、そのデータを再度暗号化するというプロセスになります。

皆さんのお客様により優れたサービスを提供できるよう、業界基準を再考

企業や組織の安全を確保する能力を維持していけるよう、フォーティネットのNGFWソリューションは、保護、パフォーマンスにおいて新たな基準を打ち立てます。

当社のNGFWは、当社のパートナー企業が今日の脅威ランドスケープからそれぞれのお客様をアクティブに保護する効果的かつスケーラブルなソリューションを提供するのに役立つ様々なメリットを提供します。以下は、FortiGate NGFWが提供するメリットです。

• 最適なSSLインスペクションパフォーマンス: 当社のFortiGate NGFWは特許取得済みのコンテンツプロセッサ、高度なパラレルプロセッシングテクノロジーを搭載し、業界で義務付けられている暗号がNGFWプロセッサ内でサポートされています。こうした独特のエンジニアリングにより、フォーティネットは「SSL対応」、そしてパフォーマンスを犠牲にすることなくセキュアなSSL暗号化を維持することができるクラウドアクセスのNGFWを提供します。
• 回避テクニックを使った脅威からの保護: 現代のサイバー犯罪者は、SSL暗号化を迂回する巧妙な回避テクニックの開発を常に行っています。クラウドベースのサービスを使って企業がスケールするなか、SSLトラフィックが果たす役割が大きくなってきていることから、デジタルビジネスのスピードでSSLトラフィックを保護する能力を持つことが、効果的なセキュリティポスチャーにおいては重要な要素となります。最新のNSS Labsのグループテストでは、FortiGate NGFWは回避テクニックの100%を特定し、阻止することに成功しています。
• ネットワークにおける幅広いセキュリティ: NGFWが、統合型のセキュリティファブリックによって密接に連携動作する追加的なネットワークセキュリティソリューションとともに稼働すると、ネットワークセキュリティは最も効果的な状態になります。フォーティネットは、ネットワークおよびエンドポイントセキュリティ、Webアプリケーションファイアウォール、ブリーチ検知サービスを含め、8つのグループテストでNSS Labsの「Recommended（推奨）」評価を獲得しています。

統合型セキュリティ戦略におけるFortiGate NGFWの役割

フォーティネットのパートナー企業にとって、モダンかつ統合的なネットワークセキュリティアーキテクチャ内で稼働できる、独立系機関検証済みのセキュリティソリューションを提供できることは、お客様のセキュリティポスチャーにとって非常に重要です。現代のサイバー脅威を検知するためには、ITスタッフはセキュリティソリューション間で有意義な統合を行う必要があり、そうすることで攻撃対象領域全体におけるセキュリティ脅威を分析、検知、阻止、緩和できるようになります。

SSLトラフィックを利用するネットワーク要素がますます活用されるようになってきているため、効果的な暗号化セキュリティをデプロイする能力は不可欠です。また、企業はIoTデバイスやモバイル機器、様々なクラウドベースのアプリケーション、データセンター、マルチクラウド環境などのより多くのエンドポイントをネットワークに統合しています。こうした多様なネットワークアーキテクチャを皆さんのお客様がアクティブに保護するためには、様々な環境、システムにおいてSSL暗号化トラフィックのホリスティックなセキュリティを確保できるソリューションが必要です。

幸いなことに、フォーティネットの次世代ファイアウォールソリューションは、様々な物理的ネットワーク環境において効果的なセキュリティポスチャーを維持しながら、主要クラウド環境すべてにおいても稼働させることができる初のソリューションです。こうしたアプローチにより、フォーティネットのパートナー企業は、お客様が導入している複雑なネットワークエコシステムにおいて幅広いネットワーク防御を確保すると同時に、SSL暗号化トラフィックを保護する効果的なNGFWソリューションを提供できます。

NGFWは効果的なサイバーセキュリティの取り組みにおいて中心となる基礎的要素ですが、デジタル変革によって、NGFWも効果的なパフォーマンスを維持すると同時に、デジタル環境のSSL暗号化トラフィックの安全を確保することがますます重要になってきています。皆さんのお客様は、こうした問題に真っ向から対処でき、アクティブなSSLトラフィック検知および緩和とともに、強力なファイアウォール保護を提供できるソリューションが必要です。暗号化トラフィックの量が増大を続けるなか、当社パートナーの方々はフォーティネットのNGFWソリューションを提供することで、明らかな優位性を得られます。

NSS Labsの次世代ファイアウォールテストレポートおよびセキュリティバリューマップは、こちらからダウンロードいただけます。

詳細につきましては、フォーティネットのセキュリティファブリックおよび第三世代のネットワークセキュリティをそれぞれご覧ください。

今回取り上げた高度セキュリティソリューションに関する詳細につきましては、フォーティネットのFortiGate次世代ファイアウォール ホームページをご覧ください。