CISA の調査によると重要インフラへの初期アクセスの 90% が不正 ID に起因

重要なインフラをサイバー攻撃から保護するための鍵は、ネットワークのセグメント化と OT セキュリティであると一般的には考えられています。 しかし、侵害が一向に減らないという事実は、これらの方法だけでは不十分であるということを示しています。 実際に、CISA が 121 の重要インフラネットワークを調査したところ、アイデンティティの侵害が致命的な弱点であることがわかりました。 本ブログでは、攻撃者の視点に立って重要なインフラのセキュリティを強化する方法についてご紹介します。

重要インフラの脅威状況は、国家支援を受ける攻撃者やその他の巧妙に組織化された攻撃者の活動により、ますます危険度を増しています。製造業、金融サービス、政府機関などの 16 のセクターにまたがる米国の国家安全保障に不可欠な重要インフラ組織は、サービスの中断、機密情報の盗取、事業全体を人質にとった身代金要求を目的とした容赦ないサイバー攻撃に直面しています。 

オペレーショナルテクノロジー (OT) の侵害はしばしば攻撃の主な目的となるため、当然のことながらセキュリティチームは OT セキュリティとネットワークのセグメント化に重点を置いています。 しかし、この戦略はあまりにも対象範囲が狭く、侵害におけるアイデンティティの役割などの重要なポイントが考慮されていないことが証明されています。 実際、アイデンティティ侵害は、重要インフラネットワークへの最初の足がかりを得てラテラルムーブメントを行おうとする者が悪用する最大のサイバーエクスポージャーギャップとなっています。

本ブログでは、OT および重要インフラに関連する有名な侵害事例を紹介し、その攻撃にアイデンティティやその他の MITRE ATT&CK 手法がどのように介在したかを考察します。また複数のセキュリティドメインのセキュリティに関するインサイトを統合して、重要インフラのセキュリティを向上させる実用的な推奨事項を提案します。 

アイデンティティ侵害 - 重要なインフラにおけるセキュリティ上の弱点 

サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) と 米国沿岸警備隊 (USCG) は、共同で 121 の重要インフラ組織のネットワークを調査しました。 正式には「リスクおよび脆弱性評価 (RVA)」と呼ばれるこの調査の目的は、組織ネットワークの機能と潜在的な脅威に対するネットワークの防御能力を評価することでした。 調査結果は MITRE ATT&CK フレームワークにマッピングされました。

2023 年の半ばに発表された CISA レポートと併せて提示されたグラフには、これらの RVA の結果が詳しく記載されており、初期アクセスの 90% がアイデンティティの侵害によるものでだったことが示されています。 また、このレポートでは、アイデンティティは他の手法と組み合わせることで権限昇格の主な手段になり、さらに IT 環境と OT 環境との間のラテラルムーブメントも可能にすると述べられています。 

エアギャップとネットワークのセグメント化が幅広く使用されていることや、IT と OT のセキュリティへの莫大な投資を考えると、この結果には愕然とさせられます。

重要インフラネットワークへの初期アクセスに使用される MITRE ATT&CK 手法

^{(出典: 「CISA Analysis: Fiscal Year 2022 Risk and Vulnerability Assessments (CISA 分析: 2022 年度 リスクおよび脆弱性評価)」レポート、2023 年 6 月)}

違反を公開するまでのタイムリミットは今や 72 時間

深刻化する脅威状況の緊急性が高まる中、多くの国で重要インフラ産業を対象とした新たな法律が策定されたことから、セキュリティチームは透明性と説明責任を求められるというプレッシャーにさらされています。 例えば、米国の 2022 年の重要インフラ向けサイバーインシデント報告法 (CIRCIA) や EU のネットワークおよび情報システムに関する (NIS2) 指令では、重要インフラに重大な影響を与えるサイバーインシデントは 72 時間以内に開示しなければならないと義務付けています。 これらの義務化により、可視性の確保と責任の明確化に加えて、侵害の疑いが特定されてから開示が必要になるまでの時間が大幅に短縮されたため、より効果的で予防的なセキュリティの必要性が高まっています。 

注目すべきは、同様の義務が、重要インフラの範囲以外の他の産業に対しても課せられたことです。

ネットワークのセグメント化と OT セキュリティだけでは不十分

攻撃の実行において、攻撃者が最初の足がかりを得て権限を昇格させ、ラテラルムーブメントを行う方法には多くの共通点があります。 これは、攻撃者が実行するすべてのアクションが、基本的に人間とマシンのアイデンティティの特権を悪用しているためです。 異なるのは、特権の獲得にそれぞれ使用されている MITRE ATT&CK 手法の種類です。 

重要インフラの侵害の、代表的な 3 つの例を見ていきましょう。

コロニアルパイプライン: 米国の重要インフラに対するサイバー攻撃で公表されている最大規模のこの障害は、盗まれたユーザーパスワードと VPN アカウントによって IT ネットワークが初期アクセスされたことから始まりました。 その後、リモートデスクトッププロトコルが使用され、パッチが適用されていない脆弱性が悪用され、特権を昇格させるランサムウェアが導入されました。 そのランサムウェアが重要システムを暗号化し、OT システムは直接には侵害されなかったものの、OT ネットワークへのランサムウェアの拡散を防ぐため、セキュリティチームは石油パイプラインの停止を余儀なくされました。 

コロニアルパイプラインの侵害で使われた手法

オールズマー市: フロリダ州オールズマー市の水処理施設が標的になった障害では、侵害されたユーザー認証情報を利用して攻撃者が最初の足がかりを得たと考えられています。 侵入した攻撃者は、既存のリモートデスクトップソフトウェアを使用してオペレーターのデスクトップを制御し、プラント制御システムにアクセスしてコマンドを実行し、水道水の水酸化ナトリウム濃度を危険なほど高いレベルに変更しました。 幸いなことにオペレーターがその侵害行為を目撃したため、被害に至る前に介入することができました。

オールズマー市の侵害で使われた手法

NotPetya: NotPetya の事例は、近年で最も重大で破壊的なサイバー攻撃の 1 つです。発端は認証情報の漏洩で、攻撃者はそれを利用して広く使われている会計ソフトウェアにアクセスし、コードを改ざんしました。 改ざんされたソフトウェアによって、ターゲット組織にバックドアが設けられ、マルウェアが配布されました。 デプロイされたマルウェアは、既知の SMP 脆弱性を標的とするエクスプロイト「EternalBlue」を利用して急速に拡散しました。 資格情報を収集して横方向に拡散するためには Mimikatz というポストエクスプロイツールが使われ、(多くの場合) 正規の Windows 管理ツールやネットワーク共有ツールが利用されました。 この侵害は、海運大手の Maersk が運営する港湾からチェルノブイリ原子力発電所の放射線監視システムに至るまで、世界中の重要なインフラを混乱に陥れました。 

NotPetya による侵害で使われた手法

上記に挙げたいずれのケースでも、OT 資産は当初のターゲットではありませんでした。 しかし、これらすべての事例には何らかの形での人間やマシンのアイデンティティの侵害が関与しており、既存の脆弱性と正規のリモート管理手段を組み合わせて使用することで侵害が拡散され、権限昇格、ラテラルムーブメントを通して、攻撃者が目論んでいた目標が達成されました。 

重要インフラネットワークのラテラルムーブメントに使用される MITRE ATT&CK 手法

^{(出典: 「CISA Analysis: Fiscal Year 2022 Risk and Vulnerability Assessments (CISA 分析: 2022 年度 リスクおよび脆弱性評価)」レポート、2023 年 6 月)}

詳細な文脈がなければ重要インフラの保護は不可能

ほぼすべてのポイントセキュリティツールに共通する課題は、アタックサーフェス全体の資産、アイデンティティ、リスクの関係性を包括的で統合された観点から捉えられないことです。 たとえば、多くの OT セキュリティツールでは、OT 環境内の IT 資産とアイデンティティの可視性がないがしろにされているため、それらが抱える弱点が悪用されて、最終的に重要なインフラスシステムが危険にさらされる可能性があります。 こうしたクロスドメインの関係性が、初期アクセス、ラテラルムーブメント、権限昇格を可能にします。 この関係性を把握できる視点がなければ、サイロ化された大量のアラートと、重要インフラの完全性や継続性を損なう実際のサイバーエクスポージャーを効果的に区別できません。 

Tenable One サイバーエクスポージャー管理プラットフォームは、このような課題に対処できる、ユニークな製品です。DX 時代のアタックサーフェスを完全に可視化することで、セキュリティサイロを解消し、重要インフラに重大な影響を与えるサイバーエクスポージャーを優先的に検出して排除することを可能にします。Tenable One は、Tenable OT Security の OT および IT の資産に関する豊富な設定データやリスクデータを、Tenable Identity Exposure の人間およびマシンのアイデンティティに関する特権データやリスクデータと統合します。 その統合機能によって、セキュリティチームは融合された IT 環境と OT 環境を横断する攻撃経路を可視化し、修正することができるのです。 

この短い動画では、Tenable One が、重要インフラのサイバーエクスポージャー問題を解決 (攻撃者が悪用する前に攻撃経路を遮断) する方法を紹介しています。

包括的な可視性、文脈を踏まえたリスク評価、真のサイバーエクスポージャーの優先順位付けに重点を置いた水平的なセキュリティアプローチを採用することで、組織はセキュリティ態勢を強化し、効率性を高め、進化する脅威から重要なインフラを確実に保護できます。 

サイバーエクスポージャー管理について、詳細はホワイトペーパー「Hackers Don’t Honor Security Silos: 5 Steps To Prioritize True Business Exposure (攻撃者はセキュリティサイロを尊重しない: 真のビジネスエクスポージャーを優先して解決するための 5 つのステップ)」をダウンロードしてご一読ください。