OT環境を狙った高度なサイバー攻撃とその対策

米国の政府機関が注意喚起

米国の国家安全保障局（NSA）は2022年4月、産業用制御システム（ICS）を対象として破壊や混乱を引き起こす高度標的型攻撃（APT)ツールに対する注意喚起の声明を、エネルギー省（DOE）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）と共同で発表しました。

2010年以降、欧米や中東を中心に発電所や水道施設などの重要インフラ、鉄や化学物質の工場などにおけるセキュリティインシデント発生件数が増加傾向にありますが、APTツールによる攻撃は、これらの中東やウクライナで発生した特に強力だった攻撃に匹敵すると見なされています。

図1：OT環境に極めて重大な被害をもたらしたサイバー攻撃

2010年	イランの核燃料施設で、PLCの設定が改ざんされ、同施設の稼働が一時的に停止
2015年～2016年	送電の遮断とシステムの破壊によりウクライナの電力設備で大規模停電が発生
2017年	中東の重要インフラで、安全計装システムの緊急停止機能が不正に作動

どのような攻撃で何が高度なのか

これらの攻撃が重大な被害をもたらした理由として、IT環境からのもらい事故（偶発的にマルウェアなどが流入した）ではなく、攻撃者が産業プロセスや製造設備に詳しく、OT環境そのものを狙った攻撃だったという点が挙げられます。

APTツールによる攻撃もそれと同様に、OT環境の特定の製品やプロトコルを狙ったものであるため、特に注意が必要です。

攻撃手法の特徴

OSのデバイスのマザーボードドライバーの脆弱性（CVE-2020-15368）を悪用し、OT環境内のネットワークでアクセスを拡大する
プログラマブルロジックコントローラ（PLC）の特定の製品や特定のプロトコル（OPC UA）の仕様に即して開発したツールを用いて、破壊や停止を引き起こす

図2：脆弱性の悪用～PLCなどに対する攻撃のイメージ

どのように守るべきか

これらの攻撃への備えとして特に重要なのが、「認証による防御」と「悪意のある通信や振る舞いの検知」です。

ただ、これら以外にも、防御、検知、対応、復旧と幅広く推奨される対策がNSAなどによる声明には記載されており、サイバー攻撃が発生した際の耐性や回復力を意味する、「サイバーレジリエンス」が重要であることが分かります。

図3：代表的な推奨策（太字：特に重要なもの）

防御	リモートアクセスするデバイスに多要素認証を実装パスワードの初期値を禁止、強固なものに変更 OTとIT/インターネット間の分離、必要最小限の通信以外禁止必要最小限のアプリケーションやドライバのインストール必要最小限の権限の付与 OSのセキュリティ機能とEDRによるデバイスの堅牢化など
検知	悪意のある通信（脆弱性の悪用やマルウェアの横感染など）を検知悪意のある振る舞い（業務上利用しないアプリケーションやドライバなどのインストールなど）やサービス停止の兆候となる事象（通信や処理の遅延、再起動など）を検知など
対応	インシデント対応の計画を策定インシデント対応の訓練をIT部門/OT部門などの関係者と定期実施デバイスのログの収集および保管など
復旧	オフラインバックアップの取得ファームウェアやコントローラの構成ファイルのハッシュチェックによる完全性の確保など

出典：NSA

最後に

サイバー攻撃は金銭を狙うような「犯罪」の範疇を越え、サイバー空間における国家間の「紛争」の手段にまで拡大しています。このことからも攻撃者は今後、重要インフラや国家の中核事業に関わる工場やプラントで使われるメジャーな製品・プロトコルの理解をさらに深め、高度な手法・ツールを開発し、強力な攻撃を仕掛けてくることが予想されます。

このような脅威動向に目を向けると、攻撃に対するイメージが湧きやすくなるので、サイバー攻撃対策を推進するにあたって有効です。脅威動向を関係者に共有した上で、自組織のセキュリティ対策を評価したり、自組織の対策の優先度や実装方法を検討したりすると良いのではないでしょうか。

PwCは、脅威情報の提供や対処に関する助言、およびOT環境のアセスメントやアーキテクチャ設計などのサービスを提供しており、お客様の状況に合わせた支援が可能です。

*1 米国の国家安全保障局（NSA）によるプレスリリース「APT Cyber Tools Targeting ICS/SCADA devices」2022年4月13日（2022年5月13日閲覧）

*2 米国の国家安全保障局（NSA）、米国のエネルギー省（DOE）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）による共同アドバイザリー「APT Cyber Tools Targeting ICS/SCADA Devices」2022年4月13日（2022年5月13日閲覧）

*3 IPAの攻撃事例資料「制御システム関連のサイバーインシデント事例1 ～2015年ウクライナ大規模停電～」 2019年9月（2022年5月13日閲覧）

*4 IPAの攻撃事例資料「制御システム関連のサイバーインシデント事例2 ～2016年ウクライナマルウェアによる停電～」 2019年7月（2022年5月13日閲覧）

*5 IPAの攻撃事例資料「制御システム関連のサイバーインシデント事例3 ～2017年安全計装システムを標的とするマルウェア～」 2019年7月（2022年5月13日閲覧）

*6 IPAの攻撃事例資料「制御システム関連のサイバーインシデント事例4 ～Stuxnet：制御システムを標的とする初めてのマルウェア～」 2020年3月（2022年5月13日閲覧）

*7 MANDIANT BLOG「INCONTROLLER: New State-Sponsored Cyber Attack Tools Target Multiple Industrial Control Systems」 2022年4月14日（2022年5月13日閲覧）

*8 DRAGOS Whitepaper「PIPEDREAM: CHERNOVITE’S EMERGING MALWARE TARGETING INDUSTRIAL CONTROL SYSTEMS」 2022年4月（2022年5月13日閲覧）