TRITON背後のグループに対する米国の制裁が重要インフラの保護にどうつながるか

2020年10月下旬、米国連邦政府 はサイバー攻撃とつながりのあったロシアの研究機関に制裁を課す計画を発表しました。この研究機関は、産業用制御システム(ICS)を標的としたTRITONマルウェアで使用されたカスタムツールの作成に関与したと言われています。これらの制裁は、国家や大規模な組織犯罪グループを背後に持つサイバー攻撃を阻止するための米国政府の対策の一環です。
TRITONは巧妙な戦術を組み合わせ、そのステルス性および損害を与える能力を最大化しています。最初にこの攻撃の活動が発見されたのは、2017年にサウジアラビアの石油化学プラントを襲ったときのことでした。TRITON は、安全システムを標的とし、またその他の重要なオペレーションを侵害することによって、産業用環境に大規模な障害を引き起こすその潜在的な能力により「世界で最も殺人的なマルウェア」 と言われています。
TRITONのタイムライン

図1:TRITON攻撃のタイムライン
TRITONの重大性
TRITON はAPT(Advanced Persistent Threat)として識別されており、これは高い脅威レベルと最新の攻撃ベクトルを特徴とする、国家の支援を受けた攻撃であることを意味します。TRITONは感染したシステムに対する完全なコントロールを攻撃者に与え、産業用制御システムの改ざんを可能にするよう設計されています。
このマルウェアは最先端のTTP(戦術、テクニック、手順)を駆使して検知を逃れ、セキュリティ防御を回避し、攻撃者の目的を達成します。OT(運用・制御技術)を標的としたEKANSのような最近の攻撃同様、TRITONはITとOTの統合を悪用し、最初にエンタープライズデバイスに侵入してからOTサブネットへと旋回していきます。
この侵入の連鎖はHavex、Stuxnet、Industroyer等の他の有名なOT攻撃と類似しています。実際、 Darktraceは2018年12月にも中東の複数の企業において同様のAPT、Shamoon 3を検知しています。このタイプのマルウェアは特にOTシステムを標的としたものではありませんでしたが、類似のTTPを使用して侵入、およびワイパー型マルウェアを展開しました。ワイパー型マルウェアは感染したデバイスのハードドライブを消去するもので、重要インフラを標的とすることが多いマルウェアです。
同じ系統の脅威として、米国政府は2019年に少なくとも20箇所のAmerican Electric Powerの施設が、TRITONを作成したのと同じロシアの研究機関を拠点とするグループによって脆弱性を探られたと報告しています。 これらの事例は、重要インフラを標的とした、国家を背後に持つOT攻撃が全体的に増えていることを証明しています。
進化する脅威環境
米国政府による制裁の二次的効果
今回の制裁は活発な脅威グループの活動を中断し、攻撃者になるかもしれない者を抑止しようとするものです。二次的な目標は、重要インフラが直面しているさまざまなサイバー脅威についてサイバー業界および世間一般の意識を高めることです。しかし制裁によって攻撃者の動きは遅くなるかもしれませんが、止めることはできません。確かに国家には豊富なリソースがあり、強い動機もあります。またAPTハッカーグループは今後も適応、進化を続けるでしょう。
OTサイバー攻撃の今後
ShamoonやEKANSランサムウェアのような攻撃は、ITとOTの統合によってOT向けではない攻撃に対しても重要インフラが脆弱となってしまったことを実証しています。しかし、脅威環境にはOT攻撃の破壊的な潜在力をさらに強化することにしかならない、さらなる問題が出現しつつあります。その問題とは、機械学習およびその他のAIテクノロジーをサイバー攻撃に悪用することであり、これは「攻撃的AI」とも呼ばれています。
OTを特に標的とした攻撃において、APTは防御側の先を行くために機械学習およびAIテクニックを適用する可能性が高いでしょう。これにより攻撃者はIT/OT統合の悪用を効率化し、より迅速にOTシステムに入り込むことが可能になります。つまり、AIと機械学習の助けにより、マルウェアは正しい標的を適切なタイミングで襲撃するために、複雑なインフラの隅々までを学習し標的に到達する道を自律的に見つけ出すことができるようになるのです。
非常に効果的な機械学習の使い方としては、最適な意思決定ができるようマルウェアを訓練することです。たとえば、教師あり機械学習によって、最強のマルウェアオペレーターのスキルをマルウェア自体に直接落とし込むことができます。マルウェア内の自律的能力が大きいほど、C2接続の確立を遅らせることができます。
訓練済みマルウェアは、たとえばOT制御システムと通信できるようになるまで、単独で動作することができます。その後、C2を確立しOT偵察を実行して結果を取り出すまでをきわめて迅速に、たとえ即座に発見されても人間が脅威を緩和することが到底できないスピードで完了することができるでしょう。
重要インフラを標的とした将来のOT攻撃は、こうしたテクニックのいくつかを取り入れると思われます。たとえばTRITONフレームワークでは、マルウェアのオペレータがスクリプトを使って機能を手動でトリガすることを必要としていました。将来的には、AIを備えたバージョンではコマンド&コントロールを必要とせず、偵察フェーズの最後にコールバックするだけとなることが考えられます。

図2:AI対応のマルウェアはICS標的への最適な経路を自動的に見つけることができる
まとめの考察
国家により支援されたハッキンググループによって行われるOT攻撃がますます増えているということがはっきりしてきました。これらのハッカーグループは、攻撃者が検知されず、セキュリティツールを回避して目標を達成することが可能な、最先端のマルウェアツールを利用することができます。実際に、これらの国家が支援する攻撃者達の活動はますますアグレッシブで大胆なものになりつつあるようです。今回の制裁は正しい方向への第一歩と言えますが、標的とされるインフラをこれらの脅威による被害から最終的に守ることができるのは強力な防御戦略だけです。
国家が支援するサイバー攻撃者達は、IT向けおよびOT向けのマルウェア開発者のスキルを組み合わせることによりIT/OTの統合を悪用しようとしています。こうした攻撃者達はセキュリティに対する従来型アプローチの弱点にもつけ込もうとしています。たとえば、多くの組織ではOTとITのセキュリティチームは別組織であり、IT用、OT用の個別のセキュリティツールが存在します。このような構成はサイバー防御にブラインドスポットを作り出す結果となります。
AIマルウェアの使用はOT攻撃の進化の一部となるでしょう。自身もAIを装備したセキュリティチームのみがこうしたタイプの攻撃を防ぐことができます。Darktrace はITとOTのセキュリティチームのコラボレーションを強化し、重要インフラに対するこれらのAPT攻撃からの保護を可能にします。事実、Darktraceは事前の脅威インテリジェンスに何ら頼ることなく、あらゆるユーザー、デバイス、コントローラにとっての「通常」を学習し、攻撃の結果として発生した異常な挙動を特定することによって活動中のAPTを検知しています。
TRITONのようなAPTが今後更新され、より革新的なテクノロジーをTTPに取り入れるようになっても、Darktraceは産業インフラのDNAを学習することによりレジリエンスを構築し、OTとコーポレートネットワーク間のあらゆる統合ポイントを洗い出します。自動的に調査を行いすべての異常なアクティビティをリアルタイムに特定することにより、Darktraceは人間のチームを補強し、最新の脅威に対して常に一歩先を行くことを可能にします。
この調査結果についての考察はDarktraceアナリストOakley Cox が協力しました。
Industrial Immune Systemについて詳しく知る