SCADAセキュリティレポート2016

ICS(Industrial Control Systems、産業制御システム)に対する直接的、間接的な標的型攻撃が増えてきています。こうした状況のなか、これらのシステムの保護がどのような状態にあるのかをここで一度、評価してみましょう。

ICSは「送電、パイプラインにおけるガスや石油の輸送、配水、交通信号、その他現代社会の基盤として用いられているシステム」などの物理的プロセスを制御、監視するシステムです。

近年、重要インフラや製造業の多くが依存するICSが、ますます頻繁に、巧妙なサイバー攻撃にさらされるようになってきました。これは一つには、OT(操作技術)とIT(情報技術)が必然的に一体化した結果と言えます。コンピューティングのすべての領域において見られるように、EthernetやTCP/IPのようなオープンスタンダードを介したネットワーク接続性が向上したことによる利点、そして専用のプロプライエタリの機器をオフザシェルフのハードウェア、ソフトウェアに置き換えることで得られるコスト面での節約には、脆弱性の増加という代償が伴うのです。

ただ、たいていのITシステムにおけるセキュリティブリーチの影響は金銭的損失のみである一方、ICSへの攻撃は重要な機器を破壊し、国家の安全を脅かし、さらには人の命を危険にさらす可能性もあるのです。

こうした決定的な違いから、困ったことに潜在的なアタッカーの犯人像、動機にも違いが見られるのです。現代のサイバー犯罪の大半が金銭的な見返りを動機としていますが、2015年に起きた事例の意図を振り返り、なぜアタッカーたちがこのようなICSシステムの機能停止を狙ったのかを探ってみましょう。以下に重要なものを挙げてみました。

ウクライナにおける初のハッカーによる停電

2015年12月23日、57の配電所におけるブラックアウトにより、ウクライナ西部の複数の地域が停電に見舞われました。この停電は最初、影響を受けた電力会社の1つの監視システムにおける「干渉」が原因だとされていましたが、後にICSへの「ハッカーによる攻撃」が原因だったことが判明しました。ブラックアウトの原因は、2016年1月4日、ウクライナのCERT(CERT-UA)によって裏付けが取られサイバー攻撃によって引き起こされたことが証明された、初の停電であると考えられています。

この攻撃は以下の3段階に分けて、巧妙かつ非常に計画的な形で実行されました。

  • MS Officeの文書が添付されていたスピア型フィッシングメールを介してシステムを感染させる。文書には不正なマクロが含まれていた。
  • 制御システムからシステムファイルを消去して機能停止および復旧阻止。
  • 偽の電話を集中的にかけることで、様々な電力会社の顧客サービスセンターを標的としたDDoS攻撃を実施し、会社による問題発覚を遅らせた。

これらの攻撃に使用されたマルウェアは、2007年以降存在しているBlackEnergyマルウェアファミリーとの関連が指摘されています。このファミリーの他の亜種も、2014年にSCADAインフラストラクチャーの情報を収集していたことが判明しています。

アメリカにおけるICS偵察攻撃を確認

2015年12月、アメリカで起こったICS攻撃に関する2つのレポートにより、それらの攻撃が偵察攻撃、つまり混乱をもたらすというよりは、インテリジェンスの収集を目的として行われた攻撃だったことが明らかになりました。

1つ目のレポートでは、これまで裏付けの取れていなかった2013年のニューヨークのボウマンアベニュー ダムへの攻撃が確認されました。ダムは侵害を受けなかったものの、この攻撃はおそらく標的型の偵察を目的とし、主に感染したマシン上のクエリや検索の情報を収集していました。これはイランのハッカーによるものであることが確認されています。

同様に、天然ガスおよび地熱源発電で米最大手のカルパインに属するコンピュータを解析したところ、これが不正アクセスを受けており、カルパイン社の情報が盗まれていたことが判明しました。盗まれた情報は、感染したシステムがコンタクトしたアタッカーのFTPサーバーの1つで見つかりました。盗まれた情報には、カルパインのネットワークにリモート接続できるユーザー名やパスワード、さらにはアメリカにあるネットワークおよび71の発電所の詳細な設計図も含まれていました。

侵害済みのSCADAシステムがアンダーグラウンド市場で販売される

侵害済みのSCADAシステムを販売します、という内容の書き込みがアンダーグラウンドのネット掲示板で見つかりました。そこには、侵害済みのシステムのスクリーンショットと3つのフランスのIPアドレス、VNCパスワードも掲載されていました。これらの認証情報の信ぴょう性はまだ確認されていませんが、これは、すぐに使える状態の脆弱なSCADAシステムが、アンダーグラウンド市場で容易に購入できる商品になった可能性を示唆しています。

これらの攻撃は、数ある攻撃のなかのほんの3例です。ICS-CERTが発行するモニターニュースレター(2014年10月~2015年9月)によると、2015年度には合計295のインシデントがICS-CERTに報告されているということです。報告されたインシデントで最も多かったのが、製造業の重要インフラを標的としたもの(97.33%)となっており、次に多かったのがエネルギー部門を標的としたもの(46.16%)でした。2014年に比べ、製造業の重要システムに対する攻撃が増加した原因は、この部門の企業を主な標的として幅広く行われているスピア型フィッシングのキャンペーンです。さらに他の部門における標的が限定的だったこともあります。

組織がICSの安全を確保する際の主な課題の1つが、上で述べたように、今日のサイバー犯罪の巧妙化です。ですが、他にも業界特有のシステム、規制、慣行などといった課題もあります。たいていの産業制御システムは、非常に様々なベンダーによって作られたものであり、プロプライエタリのオペレーティングシステム、アプリケーション、プロトコル(GE、Rockwell、DNP3、Modbus)を実行しています。その結果、IT用に開発されたホストベースのセキュリティは通常、ICSには利用できず、一般的な企業アプリケーションやプロトコル用に開発された多くのネットワークセキュリティ制御も、ICSで用いられているものに対するサポートという点では、あまり意味を成さないのです。

ICS-CERTのモニターニュースレターに記載されている事実に基づき、組織がニュースのネタになってしまうことを避けるために使えるセキュリティ対策をいくつか挙げてみました。

  • フィッシングメールに注意する: フィッシングメールがどれほど説得力のあるものだったとしても、優秀なアンチウイルスソフトウェアなら、不正な添付ファイルの警告を出し、セキュリティレベルをさらに高めることができます。スピア型フィッシングメールは実際に、すべての攻撃で使用されていることがわかっており、企業界と同様にICSの世界でも一般的になっています。関連のあるインシデントとしては、将来の社員候補を装うためにソーシャルメディアのアカウントをアタッカーが利用するというスピア型フィッシング攻撃がICS-CERTに報告されています。このアカウントを使い、アタッカーは重要インフラ資産を所有する企業の社員から、企業のITマネージャーの名前や現在導入されているソフトウェアのバージョンなどの情報を収集することに成功しました。その後、社員候補の履歴書が「resume.rar」として添付されたメールが社員に送信されました。この添付ファイルにはマルウェアが含まれており、これが社員のシステムに感染しましたが、幸いにも制御システムにまでは広がらず、影響が出ることはありませんでした。
  • ロギングおよび定期的なネットワークのスキャニング: システム上のアクティビティの監視をするにあたり、ログは非常に優れた方法であり、インシデントの際の情報収集に役立ちます。また、感染を早期に検知することもできます。同様の理由から、ICSのシステム管理者にはログのメンテナンスを強くお勧めします。最後に、定期的なネットワークのスキャニングも、感染の早期発見につながるセキュリティのベストプラクティスの1つです。

近年は、ICSに特有の問題やその脆弱性が、広く認識されるようになってきており、それらを是正するための第一歩がすでにスタートしています。

その1つが、アメリカの産業制御システム・サイバー緊急事態対応チーム(Industrial Control Systems Cyber Emergency Response Team、ICS-CERT)やイギリスの国家インフラストラクチャー保護局(Centre for Protection of National Infrastructure、CPNI)などの政府機関を介して行われています。この2つの機関はどちらも、ICSにおけるセキュリティのベストプラクティスに関するアドバイスや助言を発行しています。

もう1つは、ISA/IEC-62443(以前はISA-99)などの共通標準の定義です。ISA/IEC-62443は国際計測制御学会(International Society for Automation、ISA)によってISA-99として策定され、後に同様の国際電気標準会議(International Electro-Technical Commission、IEC)に合わせるために 62443に番号が変更になりました。こうした文書には、安全なICSの設計、企画、統合、管理のための包括的な枠組みに関する説明が記載されています。

標準化だけでなく、セキュリティベンダーも重要インフラの安全確保という課題に取り組み始めました。フォーティネット独自のソリューションRuggedは、以下が原因で起こる、ICSシステム特有の課題に対処するよう設計されています。

  • 業界特有のシステム、規制、慣行
  • 環境条件
  • 場所が分散し、遠隔地にあること

フォーティネットのRugged に関する詳細は、こちらからご覧いただけます。(http://www.fortinet.com/solutions/critical-infrastructure-scada.html)