サイバー攻撃による重要インフラの破壊

大きく報道されたColonial Pipeline社およびJBS Foods社に対する最近の攻撃は、OT(石油の輸送や食品の製造ライン、そしてその他すべての機械による物理的プロセス)が直接標的とされなくてもサイバー攻撃の結果としてシャットダウンが起こり得るということを示しました。
事実、Colonial Pipelineインシデントでは、ITが侵害を受け、OTが十分な警戒を行おうとした結果、シャットダウンされました。つまり、攻撃がOTに拡大し安全性が脅かされる危険を避けようとしたのです。このインシデントは、人間と環境の安全両方に対する脅威、そして感染の範囲に対する不透明性が、精密な産業用環境にとってリスク要因となるということを示しています。
可用性と完全性によるオペレーション継続の実現
ほとんどの国では、 電力網やパイプラインから、運輸および医療までカバーする重要インフラ は継続した活動を維持しなければなりません。Colonial Pipeline社への最近のランサムウェア攻撃では、石油不足から危険なパニック買いやガソリンスタンドへの長蛇の列の発生に繋がり、まさにこのことを実証しています。
重要インフラの継続したオペレーションを確かなものにするには、機械の可用性と完全性を保護する必要があります。つまり、重要インフラの管理を行う組織はあらゆる潜在的リスクを予見し、これらのリスクを緩和または解消しオペレーションを継続させるためのシステム、手順、テクノロジーを実装しなければなりません。
オペレーションに求められる要件と安全性
オペレーションの継続性要件に加えて、またしばしばそれに反して存在するのが、オペレーションの安全性要件です。これららの要件が対立する可能性があるのは、オペレーションの継続性は何としても装置が稼働しつづけることを要求するのに対して、オペレーションの安全性は何としても人間と環境が保護されることを要求するからです。
重要インフラの安全対策は、過去50年間でボパール化学工場事故、テキサスシティ製油所爆発事故、メキシコ湾原油流出事故など数多くの大事故を経て改善され、ますます優先度が高まっています。適切な安全対策が行われていればこれらのインシデントは防止できたでしょうが、それにはオペレーションの継続性が犠牲になったかもしれません。
その結果、重要インフラの管理者はインシデントが人間の生命と環境に与えるきわめて深刻な脅威と、常時操業を維持しなければならないという要求のバランスを取らなければならないのです。多くの場合、許容可能なリスクとは何かという最終的な判断は予算や費用便益分析によって決まることになります。
サイバー攻撃:重要インフラへの高まるリスク
2010年には、イランの核施設において遠心分離機がPLC(プログラマブルロジックコントローラ)の侵害により損傷を与えたStuxnetマルウェアが登場し、重要インフラもサイバー攻撃の標的となることが実証されました。
Stuxnetが出現した時点においても、重要インフラ産業では、サイバー攻撃のリスクがほとんどまたはまったく存在しない時代の、サイバーセキュリティをほとんど考慮せずに操業の継続性を確保するために設計されたコンピューターを使用していました。以来、世界の脅威環境においては産業用環境を標的とした多数の攻撃が発生しています。

図1:産業用環境に対する攻撃で使用された手法の概要
古い種類のStuxnet、Triton、Industroyer等の産業環境向けマルウェアはこれまでUSB等のリムーバブルメディアを使ってインストールされてきました。これは、OTネットワークが従来、インターネットからは隔離され「エアギャップ」に守られた状態だったからです。そして、この攻撃ベクトルは現在も主流です。最近行われた調査ではUSBやその他の外部メディアからインストールされたサイバー脅威は2021年に倍増 し、その79%はOTを停止させる可能性を持っていました。
多くの側面においてこの10年間に、OTに求められてきた要件は重要インフラをさらに脆弱にしてきました。これには、情報技術と運用制御技術の統合(IT/OT統合)、Industrial Internet of Things (IIoT) デバイスの導入、手動バックアップシステムの廃止などが含まれます。このことは、外部メディアを使って人手でインストールすることなく、まずITシステムを標的にすることによりOTを破壊することができるということを意味します。
同時に、最近の政府の取り組み、たとえば米国エネルギー省の、電力事業を保護するための100-day‘cyber sprint’ や、バイデン大統領のサイバーセキュリティ強化に関する大統領令 など、またEUのNIS 指令 などの規制の枠組みや指令は、重要インフラ産業に対してこれらの新しいリスクへの対処を始めるように求めるものです。
サイバー攻撃が重要インフラに与える深刻かつ執拗な脅威、およびこの問題への対処を求める声が高まる中で、問題は堅牢なサイバー防御をどう構築したら良いかということです。
リスクの評価
重要インフラの管理者がサイバー攻撃による脅威に対して無知であるとか無関心であるというのはフェアではないでしょう。多くの組織は規制の結果あるいは自らの先取思考によりリスクを緩和しあるいは解消するための変更を行ってきました。
しかし、こうしたプロジェクトには数年、場合によっては数十年かかります。高いコストおよび変化を続けるオペレーション上のさまざまな要求事項は、これらのプロジェクトがリスクを完全に解消できないかもしれないということも意味しています。
その結果、多くの事業者はサイバー攻撃の脅威について理解はするものの、短期または中期的にはどうすることもできないかもしれません。しかし、もしそれがオペレーションの継続性を脅かすとしても、リスクを最小化するための手順を導入しなければならないのです。
たとえば、リスク評価の結果、大事故を回避するにはすべてのOTオペレーションをシャットダウンするのがベストだと判断されるかもしれません。侵害の範囲を即座に確認をする能力を持たない事業者はこの念入りな警戒をせざるを得ません。サイバー保険の普及もこの方法の魅力を高めています。オペレーションを停止することで被った損失は理論的には取り戻すことができ、そのリスクは移転されているのです。
Colonial Pipelineランサムウェアインシデントの詳細はまだはっきりしていない部分もありますが、以下に概要を示したイベントの時系列を見れば、サイバー攻撃がOTシステムに到達、あるいは標的とさえしていなくても、重要インフラをダウンさせられることが説明できます。実際、Colonial Pipeline社のCEOは議会での証言 において、“パイプラインのオペレーションを制御しているOTネットワークにマルウェアが広がらないよう攻撃を隔離し封じ込めることが至上命令であった”ことを確認しています。

図2:サイバー攻撃が直接OTネットワークに影響していなくても、重要インフラがサイバー攻撃によりシャットダウンされることを示す一連のイベント
ITまたはOTを隔離して保護する限界
過去5年間のOT向けサイバーセキュリティソリューションの登場は、重要インフラ産業がサイバー攻撃によるリスクに対応する方法を模索していることを示しています。しかしこれらのソリューションは、ITとOTが分離されていることを前提とし、マルウェアのシグネチャやパッチ管理など従来型のセキュリティテクニックを使用しているため、範囲が限定的です。
2021 SANS ICS Security Summitでは、OTセキュリティコミュニティが自らのネットワークに対する知識と理解の点で可視性の欠如に悩まされていることが強調されました。多くの組織においては、不審な出来事が攻撃なのかソフトウェアエラーの結果なのかを判断することすら困難です。
ほとんどのOTサイバー攻撃が実際にはITネットワークからOTに転回することを考えれば、OT専用ソリューションよりもITセキュリティソリューションに投資することはビジネス上の決断として一見より優れているように見えるかもしれません。しかし、攻撃者がOTネットワークへの移動を成功させてしまった場合、あるいは攻撃者が悪意を持った内部関係者であり既にOTネットワークに対する直接的アクセスを有していた場合、ITソリューションも役に立ちません。このように、ITまたはOTを個別に保護しようとするサイロ化したアプローチでは産業用システムを保護するために必要な範囲が足りません。
重要インフラに対する成熟したセキュリティ体制にはITとOT両方に対するセキュリティソリューションが必要であることは明らかです。しかしそれでも、ITネットワークとOTネットワークを個別のソリューションで保護するのには限界があります。ネットワーク境界の防御や、攻撃者がITからOTに転回した際インシデントを検知するのに問題があるからです。また、厳しい時間的制約を受けるセキュリティチームにとっても、脅威がITとOTの「境界」を超えたかどうかを判断しなければならないときに、可視性、検知機能、言語やインターフェイスが違うのは不都合です。
さらに、個別のソリューションでは、セキュリティチームがOT環境を保護するのに純粋なOT専用ソリューションに頼っている場合、OTネットワーク内で従来型のIT攻撃のTTPを悪用する攻撃者の検知が難しくなります。この例としては、ITのリモート管理ツールを悪用した産業用環境への攻撃があります。今年初めに発生したフロリダの水処理施設へのサイバー攻撃でもこれが疑われています。
OTセキュリティの課題 | ITセキュリティソリューション | OTセキュリティソリューション | 個別のIT/OTソリューション | 単一環境ソリューション |
最初のIT侵入検知 | ||||
OT環境でIT攻撃を検知 | ||||
OTシステムへの悪意ある変更を検知 | ||||
純粋なOT攻撃(内部関係者による脅威等)の検知 | ||||
アセット識別およびOTデバイスの脆弱性管理 | ||||
ITおよびOT環境全体の脅威ハンティング | ||||
OTネットワークへの水平移動を検知 |
AIを使ったサイバーリスクの最小化およびサイバーセーフティの最大化
これとは対照的に、DarktraceのAIはITおよびOT環境、およびそれらが統合される各ポイントの「生活パターン」を構築し、サイバーエコシステム全体を保護することができます。したがって、サイバーセキュリティチームは環境内のどこであってもサイバー攻撃の発生と進行を単一の画面から検知し対処することができます。
Darktraceの自己学習型 AIの使用方法としては、既に存在していた脅威を封じ込め、継続したオペレーションを維持することも含まれます。たとえば、DarktraceのAIが既に存在していた感染を検知し自律的にアクションを実行することで脅威を封じ込め、オペレーターが代わりの機器を待つ間、感染したIIoTデバイスをアクティブなままにしておくことができた事例もあります。また、DarktraceはIT環境内のランサムウェアがOTに拡散する前に阻止することもできます。ある事例では、北米の需要インフラ事業向けサプライヤーを標的としたランサムウェアをその最も早い段階で検知しました。
広い可視性とゼロデイの早期検知を可能にするDarktraceの統一された保護により、セキュリティチームは不確実性を乗り越え、自信を持ってオペレーションをシャットダウンしない選択ができます。Darktraceは既にこの能力を実証しており、組織は機械と人間の通常の振る舞いを理解することによりサイバー攻撃の発生時にもこれを強制することができます。