テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

産業用IoT: 産業用制御システムに既に内在する脅威を発見する

David Masson, Director of Enterprise Security | 2021年2月12日金曜日

産業用IoT(IIoT)デバイスはセキュリティチームにとって差し迫った問題です。産業用システムにサイバー犯罪者を寄せ付けないよう企業は多額の投資を行っていますが、もしハッカーが既に内部にいるとしたらどうなるでしょうか?ゲートウェイや従来型のセキュリティツールは一般に組織の境界に配置され、外部からの脅威を阻止するように設計されていますが、既に脅威が内部に存在している場合、それほど効果的ではありません。その間、サイバー犯罪者達はさらに偵察を行い、PLCの設定を改ざんし、ひそかに製造プロセスを混乱させます。

Darktraceは最近、EMEA地域における製造業の企業において産業用IoT(IIoT)デバイス内に既に一連の感染が存在していたことを検知しました。この組織では環境の一部に既にDarktraceを導入しており、AIがゼロデイ脆弱性や脅威の検知に成功したのを見て導入範囲を広げ、社内の5,000台のデバイス間のやり取りをアクティブに監視および防御することにより、可視性を大幅に強化しました。

Darktraceを環境内で有効にしてからわずか数時間の内に、Industrial Immune Systemによって複数のマシン上で未知の脅威が発見されました。これまで知られていなかったこの脅威にDarktraceが光を当てたことにより、この顧客は攻撃者が会社に深刻な損害を与える前に、完全なインシデント対応と脅威調査を実施することができました。

これらのデバイスがどれだけの間感染していたのかは不明ですが、感染したUSBドライブから人の手によって最初に持ち込まれたと思われます。影響を受けたエンドポイントは継続的な製造プロセスの一部として使用されており、エンドポイント保護付きでインストールすることはできませんでした。

しかし、Industrial Immune Systemは環境のタイプやテクノロジーに関係なくデジタルエステート全体から感染を容易に検知します。Darktrace AIはシグネチャベースの手法に依存せず、産業用環境内で何が「正常」な状態かについての理解を継続的に更新します。この自己学習型アプローチによりAIはそれまで見られたことのないゼロデイを封じ込め、また既に存在していた攻撃の新たな出現を検知することができます。

産業用IoTに対する攻撃

Darktrace AI がこの製造会社内全体の接続や相互動作の保護を開始してからほんの1-2時間後、Industrial Immune Systemは非常に稀なネットワークスキャンを検知しました。最初のスキャン発生からインシデント対応結果および結論までのイベントのタイムラインを以下に示します。

図1:28時間に渡るインシデント対応のタイムライン

DarktraceのAIはデバイスがSMBv1プロトコルを悪用して水平移動を行おうとしていることを認識しました。SMBv1の匿名認証に加えて、Darktraceはデフォルトのベンダー認証情報を不正使用してデバイス列挙を行っていることを検知しました。

このデバイスは多数の不審な接続を行っており、これにはこの会社がそれまで知らなかった内部エンドポイントへの接続も含まれていました。これらの発生に伴い、DarktraceのユーザーインターフェイスであるThreat Visualizerにはインシデントが視覚的に表示され、感染したデバイスからインフラ内に不審なアクティビティが拡散する様子が描き出されました。

図2:Darktrace Threat Visualizer

DarktraceのImmune Systemは感染したIIoTデバイスが通常とは異なる大量の内部接続を行っていることを特定し、これは偵察活動を行おうとしていることが推測されました。

DarktraceのCyber AI Analyst はこのアラートに対して即座に調査を開始し、マシンスピードでインシデントサマリーを作成してセキュリティチームがアクションを起こすのに必要なすべての情報を提供しました。

図3:ネットワークスキャンに対するAI Analyst Reportの例

Cyber AI Analystはさらに他の2台のデバイスが同じような動作を示していることを特定し、これらは顧客のインシデント対応担当者によりネットワークから取り除かれました。セキュリティチームが調査を行うと、これらのデバイスはYaloveおよびRenocideワーム、ならびにAutoitトロイドロッパーに感染していることが判明しました。オープンソースインテリジェンスによれば、これらの感染はUSBドライブなどのリムーバブルメディアを介して広がることが多いとされています。

DarktraceのAdvanced Search機能を使って、顧客は関連したモデル違反を調査し、似通ったIoC(Indicators of Compromise)のリストを作成しました。これにはwww.whatismyip[.]com およびDYNDNS IPアドレスへのHTTPポート80番での外部接続の失敗も含まれていました。

繰り返し起こる感染:持続的攻撃にどう対処するか

Darktraceを使うことにより、合わせて13台の感染した製造用デバイスが特定されました。この顧客が装置の所有者に連絡を取ったところ、過去に他のネットワークにおいて同様の攻撃が見られていたことが確認され、繰り返し感染が起こったケースも含まれていました。

感染が繰り返し起こる場合、次の2つのうちいずれかを意味しています。1つは、マルウェアが永続性メカニズムを持っていて、エクスプロイトしたマシン上で検知を免れるさまざまなテクニックを使い、システムへの永続性アクセスを達成しているケースです。あるいは、IoTデバイスメーカーが最初に侵害に気づいたときにすべての感染したデバイスを見つけることができず、攻撃を完全にシャットダウンできなかったことも考えられます。

感染したマシンが第三者によって所有されていたため、これらを即座に修正することはできませんでした。しかし、Darktrace AIは業務への影響を最小限にとどめつつこの脅威を封じ込めました。顧客は製造に引き続き必要であった感染デバイスをアクティブにしておくことができました。もし感染が広がる、あるいは挙動が変化した場合、Darktraceが警告してくれると確信できたからです。

産業用IoT:既に存在する脅威に光を当てる

産業用IoTデバイスの大規模な普及は産業用環境をかつてなく複雑に、また脆弱なものにしました。本記事では蔓延する脅威により攻撃者が既に内部にいたケースを例に、セキュリティチームが産業用システム全体に可視性を拡大することの重要性を紹介しました。このケースでは、顧客はDarktrace AIを使ってそれまでのブラインドスポットに光を当て、業務への影響を最小限に抑えつつ持続型攻撃を封じ込めることができました。重要な点は、「未知の既知」脅威が、デバイスおよびそのサプライヤー、パッチ履歴についての事前の知識なく、またマルウェアシグネチャやIoCを使うことなく検知されたことです。

この顧客は、Darktrace SOCサービスによりこの感染について知らされました。しかし、Darktraceが提供する他のワークフロー、たとえばEメールアラート、Darktrace Mobile Appを使った通知、SIEMソリューションとDarktraceのシームレスな統合、あるいは内部SOCからのアラートなどを使って、同じ結果を得ることもできたはずです。

Cyber AI Analyst によりこの顧客は即座にインシデント対応を実施できました。装置の所有者と再インストールを実施する日を待つ間も、未解決のリスクをDarktraceが監視していることを知っているため、製造デバイスをオンラインのままにしておくことができました。産業用環境においては、製造を維持するためにこのようなトレードオフを行うことがしばしば必要とされます。Darktraceはこれを安全に行うために必要な警戒態勢の維持を支援し、修正が可能になったときには、再度Darktraceを使って感染の完全な実態を高い信頼性で特定することができます。

この脅威についての考察はDarktraceアナリストOakley Cox が協力しました。

Industrial Immune Systemについて詳しく知る

IoC:

IoCコメント
http://www.whatismyip[.]com
193.107.19[.]236:88
131.186.113[.]70:80
162.88.193[.]70:80
216.146.43[.]71:80
216.146.43[.]70:80
131.186.161[.]70:80
AS33517 DYNDNS IP アドレス

Darktrace によるモデル検知結果:

  • Device / Suspicious Network Scan Activity [Enhanced Monitoring]
  • Device / ICMP Address Scan
  • ICS / Anomalous IT to ICS Connection
  • Anomalous Connection / SMB Enumeration
  • Device / Network Scan

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.