Tenable ブログ
ブログ通知を受信する親ロシア派ハクティビストが OT システムを標的にする
今週、米国およびその他の国のサイバーセキュリティ機関と法執行機関は共同でファクトシートを発表しました。これは、親ロシア派のハクティビストによる、北米と欧州のオペレーショナルテクノロジー (OT) デバイスを標的とした悪意のある継続的なサイバー活動を取り上げ、防衛策を講じるためのものです。 詳細を確認し、今すぐに実施すべき対策をご確認ください。
5 月 7 日にコロニアル・パイプライン社に対する攻撃から 3 年目を迎えるにあたり、米国、カナダ、英国のサイバーセキュリティおよび法執行機関のグループがファクトシートを発表し、親ロシア派のハクティビストが上下水道システム (WWS)、ダム、エネルギー、食品および農業分野を含む北米および欧州のセクターの小規模オペレーショナルテクノロジー (OT) システムを標的にし、危険にさらしていると警告しています。 このファクトシートによると、悪意のある活動は 2022 年以降見られるようになり、最近では 2024 年 4 月に確認されているということです。
最新の警告によると、 IT システムと OT システムのコンバージェンスが進む中で、悪意のある攻撃者や国家が脆弱性を悪用して、大損害を与えたり、重要なインフラを改ざんしたりシャットダウンしたりできる新しい手段を入手したということです。
知っておくべきこと
親ロシア派のハクティビストが、インターネットからアクセス可能な接続を不正に利用し、時代遅れのリモートアクセス仮想ネットワークコンピューティング (VNC) ソフトウェアを悪用することで OT システムへのリモートアクセスを獲得していると、近年さまざまな政府機関が警告しています。 こういったハクティビストは、ユーザーのヒューマンマシンインターフェース (HMI) の工場出荷時パスワードや、多要素認証を使用しない脆弱なパスワードも悪用します。
今回の最新ファクトシートでは、親ロシア派のハクティビストが 2024 年初頭にさまざまな手法を使用して HMI へのリモートアクセスを獲得し、基盤となる OT に変更を加えていることが確認されたと警告しています。 そのテクニックは以下のようなものです。
- VNC プロトコルを利用して HMI にアクセスし、基盤となる OT に変更を加える。 VNC は、グラフィカルユーザーインターフェース (OT システムを制御する HMI を含む) へのリモートアクセスに使用される
- VNC リモートフレームバッファプロトコルを利用して HMI にログインし、OT システムを制御する
- ポート 5900 経由で VNC を利用し、多要素認証で保護されていないアカウントのデフォルト認証情報と脆弱なパスワードを使用して HMI にアクセスする
HMI が操作された後、被害者は、送水ポンプや送風機が通常の運転パラメーターを超えたことによる物理的な損害は限定的であったと報告しています。 いずれの場合も、ハクティビストは設定値を最大にし、他の設定を変更し、アラームメカニズムを無効にして、管理者パスワードを変更することで WWS オペレーターを締め出しました。 軽度のタンクオーバーフローに見舞われた被害者もいましたが、ほとんどの被害者はその直後に手動制御に戻し、迅速に操業を再開しました。
実施すべきこと
ファクトシートでは、次のような対策を行うよう推奨しています。
- OT デバイス (PLC や HMI を含む) のすべてのデフォルトパスワードを直ちに変更し、強力な固有のパスワードを使用する
- OT システムのインターネットへの露出を制限する
- OT ネットワークへのすべてのアクセスに対して多要素認証を導入する
Tenable では、重要インフラのプロバイダーに対して、攻撃を受けないように次の追加の基本ガイドラインに従うことを求めています。
- パスワードローテーションなどのパスワード保護プロトコルに加えて暗号化キーを使用してリモートアクセスを保護する
- 請負業者や従業員による OT ネットワークアクティビティをログに記録して監査し、アイデンティティや認証情報を使用した攻撃を防ぐ
この共同ファクトシートは、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)、連邦捜査局 (FBI)、国家安全保障局 (NSA)、環境保護庁 (EPA)、エネルギー省 (DOE)、 米国農務省 (USDA)、食品医薬品局 (FDA)、州政府間の情報共有・分析センター (MS-ISAC)、カナダサイバーセキュリティセンター (CCCS) 、英国の国家サイバーセキュリティセンター (NCSC-UK) によって発行されました。
もっと詳しく
Tenable が水道システムやその他の重要インフラの安全確保にどのように役立つかについては、ソリューション概要をダウンロードしてください。 重要インフラのセキュリティ保護に関する詳しい情報とガイダンスは、ホワイトペーパーをご覧ください。 または https://www.tenable.com/products/tenable-ot にアクセスして、ライブデモで Tenable の機能を直接ご確認ください。
関連記事
- Industrial Control Systems Monitoring
- IT/OT
- Federal
- Government
- OT Security
- SCADA