As Pro-Russia Hacktivists Target OT Systems, Here’s What You Need To Know
今週、米国およびその他の国のサイバーセキュリティ機関と法執行機関は共同でファクトシートを発表しました。これは、親ロシア派のハクティビストによる、北米と欧州のオペレーショナルテクノロジー (OT) デバイスを標的とした悪意のある継続的なサイバー活動を取り上げ、防衛策を講じるためのものです。 詳細を確認し、今すぐに実施すべき対策をご確認ください。
5 月 7 日にコロニアル・パイプライン社に対する攻撃から 3 年目を迎えるにあたり、米国、カナダ、英国のサイバーセキュリティおよび法執行機関のグループがファクトシートを発表し、親ロシア派のハクティビストが上下水道システム (WWS)、ダム、エネルギー、食品および農業分野を含む北米および欧州のセクターの小規模オペレーショナルテクノロジー (OT) システムを標的にし、危険にさらしていると警告しています。 このファクトシートによると、悪意のある活動は 2022 年以降見られるようになり、最近では 2024 年 4 月に確認されているということです。
最新の警告によると、 IT システムと OT システムのコンバージェンスが進む中で、悪意のある攻撃者や国家が脆弱性を悪用して、大損害を与えたり、重要なインフラを改ざんしたりシャットダウンしたりできる新しい手段を入手したということです。
知っておくべきこと
親ロシア派のハクティビストが、インターネットからアクセス可能な接続を不正に利用し、時代遅れのリモートアクセス仮想ネットワークコンピューティング (VNC) ソフトウェアを悪用することで OT システムへのリモートアクセスを獲得していると、近年さまざまな政府機関が警告しています。 こういったハクティビストは、ユーザーのヒューマンマシンインターフェース (HMI) の工場出荷時パスワードや、多要素認証を使用しない脆弱なパスワードも悪用します。
今回の最新ファクトシートでは、親ロシア派のハクティビストが 2024 年初頭にさまざまな手法を使用して HMI へのリモートアクセスを獲得し、基盤となる OT に変更を加えていることが確認されたと警告しています。 そのテクニックは以下のようなものです。
- VNC プロトコルを利用して HMI にアクセスし、基盤となる OT に変更を加える。 VNC は、グラフィカルユーザーインターフェース (OT システムを制御する HMI を含む) へのリモートアクセスに使用される
- VNC リモートフレームバッファプロトコルを利用して HMI にログインし、OT システムを制御する
- ポート 5900 経由で VNC を利用し、多要素認証で保護されていないアカウントのデフォルト認証情報と脆弱なパスワードを使用して HMI にアクセスする
HMI が操作された後、被害者は、送水ポンプや送風機が通常の運転パラメーターを超えたことによる物理的な損害は限定的であったと報告しています。 いずれの場合も、ハクティビストは設定値を最大にし、他の設定を変更し、アラームメカニズムを無効にして、管理者パスワードを変更することで WWS オペレーターを締め出しました。 軽度のタンクオーバーフローに見舞われた被害者もいましたが、ほとんどの被害者はその直後に手動制御に戻し、迅速に操業を再開しました。
実施すべきこと
ファクトシートでは、次のような対策を行うよう推奨しています。
- OT デバイス (PLC や HMI を含む) のすべてのデフォルトパスワードを直ちに変更し、強力な固有のパスワードを使用する
- OT システムのインターネットへの露出を制限する
- OT ネットワークへのすべてのアクセスに対して多要素認証を導入する
Tenable では、重要インフラのプロバイダーに対して、攻撃を受けないように次の追加の基本ガイドラインに従うことを求めています。
- パスワードローテーションなどのパスワード保護プロトコルに加えて暗号化キーを使用してリモートアクセスを保護する
- 請負業者や従業員による OT ネットワークアクティビティをログに記録して監査し、アイデンティティや認証情報を使用した攻撃を防ぐ
この共同ファクトシートは、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)、連邦捜査局 (FBI)、国家安全保障局 (NSA)、環境保護庁 (EPA)、エネルギー省 (DOE)、 米国農務省 (USDA)、食品医薬品局 (FDA)、州政府間の情報共有・分析センター (MS-ISAC)、カナダサイバーセキュリティセンター (CCCS) 、英国の国家サイバーセキュリティセンター (NCSC-UK) によって発行されました。
もっと詳しく
Tenable が水道システムやその他の重要インフラの安全確保にどのように役立つかについては、ソリューション概要をダウンロードしてください。 重要インフラのセキュリティ保護に関する詳しい情報とガイダンスは、ホワイトペーパーをご覧ください。 または https://www.tenable.com/products/tenable-ot にアクセスして、ライブデモで Tenable の機能を直接ご確認ください。
Marty Edwards
Tenable OT/IoT 副 CTO
Tenable OT/IoT 担当副 CTO、Marty Edwards 略歴: オペレーショナルテクノロジー (OT) と産業用制御システム (ICS) におけるサイバーセキュリティの専門家として世界的に知られている Marty Edwards は、産業界、政府、学術機関と協力して、重要インフラに影響を及ぼすセキュリティリスクの増加とその軽減対策の必要性に対する認識の向上に尽力しています。また、Tenable の OT/IoT 担当副 CTO として、世界中の政府や業界のリーダーに助言し、人材・プロセス・テクノロジーのソリューションに対する理解とその導入の拡大、サイバーリスク全体の軽減、そして Tenable のサイバーソリューションの認識向上に努めています。「OT サバ―セキュリティ連合」を設置し、現在 Tenable の代表者として活動を進めています。同連合は業界ならびに政府機関のステークホルダーと協働し、国全体の防御態勢の改善にむけてベンダーニュートラルで相互運用が可能な統一基準に基づいたサイバーセキュリティソリューションの活用を提唱しています。2022 年には、IT/OT 融合に関する National Security Telecommunications Advisory Committee (NSTAC) の大統領への報告書のワーキンググループリーダーの 1 人を務めました。2019 年に Tenable に入社する前は、業界 30 年のベテランとして、International Society of Automation (ISA) で Global Director of Education を務めていました。ISA 在籍中に、同業他社から SANS ICS 2019 生涯功績賞を受賞しています。ISA 入社前は、アメリカ合衆国国土安全保障省の Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) のディレクターを最も長く務め、DHS Control Systems Working Group の元共同議長でもありました。米国エネルギー省 (DOE) のアイダホ国立研究所 (INL) で制御システムのセキュリティに重点を置いたプログラムマネージャーも務め、計測および自動化の分野でさまざまな役割を果たしてきました。ブリティッシュコロンビア工科大学 (BCIT) でプロセス制御と産業オートメーションの技術学位 (最優秀賞) を取得しており、2015 年には同研究所の優秀な卒業生賞を受賞しています。2016 年には、FCW の「Federal 100 Awards」で米国連邦政府のトップ IT プロフェッショナルの 1 人として認められています。
関連記事
Cybersecurity Snapshot: AI Security Tools Embraced by Cyber Teams, Survey Finds, as Vulnerability Research Gets a Boost from UK Cyber Agency
Check out why AI security tools are turning into “must have” assets for cyber teams. Plus, get the details on the NCSC’s efforts to supercharge its bug hunting capabilities. Meanwhile, Tenable webinar attendees shared their experience securing machine identities. And get the latest on the crypto cri...
Cybersecurity Snapshot: AI Security Field Gets Boost from New CSA Framework and from SANS - OWASP Partnership
Check out a new Cloud Security Alliance framework for securing AI systems. Plus, SANS Institute and OWASP are joining forces to deliver AI security controls. Meanwhile, Accenture finds orgs unprepared to counter AI-powered cyber attacks. And get the latest on the Iran cyber threat, SMB cyber defense...
Cybersecurity Snapshot: U.S. Gov’t Urges Adoption of Memory-Safe Languages and Warns About Iran Cyber Threat
Check out the U.S. government’s latest call for developers to use memory-safe programming languages, as well as its warning for cybersecurity teams regarding cyber risk from hackers tied to Iran. Plus, get the latest on ransomware trends, the quantum computing cyber threat and more!...
- Industrial Control Systems Monitoring
- IT/OT
- Federal
- Government
- OT Security
- SCADA