OTサイバー攻撃の今後についてEKANSランサムウェアが明らかにすること

過去数週間、セキュリティ業界はOT保護を取り巻く課題について痛感させられることとなりました。ホンダおよびEnel Groupに対するEKANSランサムウェア攻撃は、最新の脅威がICS環境においてセキュリティシステムのひび割れをどのようにすり抜けるかを見せつけました。さらに、これらの攻撃が生産性の損失と重要インフラの損傷を招いたことにより、OTとITテクノロジーの両方をカバーするサイバーセキュリティの必要性がますます緊急課題となりました。
EKANSランサムウェアは、その「キルチェーン」において64種類の特定のICSメカニズムを標的とすることができる能力を持ち、セキュリティ業界に波紋を呼んでいます。 ICS環境を標的とした一般的な攻撃では、いきなり急所を突くのではなくITインフラの脆弱性を利用し、パッチのあてられていないソフトウェアを足掛かりにOT機械に到達しようとします。EKANSランサムウェアはICSの脆弱性を直接標的とする初めてのタイプとみられ、これは攻撃者のテクニックが著しく向上している証拠です。これまで、ICS装置専用のランサムウェアは学術的な理論あるいはマーケティングツールとしてしか存在しませんでした。
技術分析
Goプログラミング言語で記述されたEKANSは、他のランサムウェアと比較してさらなる難読化能力を有しており、検知をよりうまく回避できるようになっています。以下の分析でも解説しますが、EKANSランサムウェアの威力は2段階で発揮されます。初期の段階では攻撃を偽装する能力、そして攻撃時には、産業システムの痛いところを突く能力です。
このランサムウェアが最初に行うことは、被害者が既に暗号化されているかどうかチェックすることです。そうでない場合、続いて標準の暗号化ライブラリ機能が作動します。これには暗号化処理の実行とボリュームシャドウコピーバックアップの削除の両方が含まれます。つまり被害者は複製されたデータコピーを取得することで身代金要求を逃れることはできないということです。
重要ファイルが暗号化される前に、EKANSランサムウェアは事前にプログラムされハードコードされたリストに含まれているさまざまなICSプロセスをキルします。影響を受けるアプリケーションには、GEのProficyデータヒストリアン、GE Fanucオートメーションソフトウェア、FLEXNetライセンシングサーバーインスタンス、Thingworxモニタリングおよびマネジメントソフトウェア、そしてHoneywellのHMIWebアプリケーションが含まれますが、これらはすべてICS環境専用のものです。
proficyclient.exe
vmacthlp.exe
msdtssrvr.exe
sqlservr.exe
msmdsrv.exe
reportingservicesservice.exe
dsmcsvc.exe
winvnc4.exe
client.exe
collwrap.exe
bluestripecollector.exe
図1:EKANSの「キルリスト」により標的とされるICS関連プロセスのごく一部
これらのプロセスを停止しても必ずしも産業用プラントがクラッシュし停止することにはつながりませんが、可視性を低下させ機械の稼働を予測不能にします。ホンダに対する攻撃事例では、米国、英国、トルコの製造拠点が操業停止となりました。世界中に22万人の従業員を抱える同社は、複数の工場をシャットダウンすることにより製造時間と従業員の給与に多大な損害を被ったほか、身代金要求に応じることなくシステムを再稼働させるためのコストがかかったのは言うまでもありません。
そしてEKANSはさらに先の段階へ進みます。この最初のキルチェーンが実行されると、ランサムウェアはデータの暗号化を開始します。元のファイル拡張子の最後に、ランダムに生成された5文字が追加されます。ほとんどのランサムウェアは特定のキーでデータを暗号化するので、これ自体が珍しいことです。

図2:EKANSランサムウェアによる暗号化結果
特定のデバイスやシステムを標的にするのではなく、EKANSランサムウェアはネットワーク全体をダウンさせようとします。これはEKANSがアグレッシブなスタイルのランサムウェアと言われる理由の一つです。しかし、自己伝播メカニズムを持っていないため、人手によってICS環境に導入する必要があります。Eメール内のリンクや添付ファイルに隠された悪意あるペイロードが、このランサムウェアを導入するための主なメカニズムです。そこから、EKANSは脆弱でパッチの当たっていないサービスを悪用し、スクリプトを使ってビジネス全体に種をまいていきます。
暗号化処理が完了すると、復号キーと引き換えに秘密裡に送金するよう、暗号化されたEメールプラットフォームCTemplarを介して身代金要求文が表示されます。ホンダの場合もEnel Groupの場合も、情報が欲しければ[email protected][.]com に連絡するよう指示されています。攻撃者は暗号化キーの正しさを証明するために、いくつかの復号化されたファイルを送信することも申し出ました。
| What happened to your files?
--------------------------------------------
We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more –
all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But dont worry!
You can still get those files back and be up and running again in no time.
--------------------------------------------
| How to contact us to get your files back?
--------------------------------------------
The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.
Once run on an effected computer, the tool will decrypt all encrypted files – and you resume day-to-day operations, preferably with
better cyber security in mind. If you are interested in purchasing the decryption tool contact us at %s
--------------------------------------------
| How can you be certain we have the decryption tool?
--------------------------------------------
In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets).
図3:EKANSの身代金要求文の一部
ホンダは、EKANS攻撃によってどの特定のプラント機能が影響を受けたかを明らかにしませんでしたが、世界の複数の工場において生産活動が影響を受けたことを公式に確認 しています。つまり、操業を中断させるのに十分なほど可視性と制御システムに混乱が生じたということです。
ランサムウェアに対する免疫
EKANSランサムウェアは比較的粗雑なテクニックを使い、ICSメカニズムをコントロールするのではなくプロセスを停止させることしかできないものの、OTサイバー攻撃の新境地を体現しています。ICSへの攻撃は引き続き進化しています。サイバー犯罪者達は機械設備に対して、より大きなコントロールを持つことを模索するでしょう。
ホンダに対する攻撃で明確になったことは、世界最大規模のグローバルコングロマリットであっても、このようなタイプのランサムウェア攻撃の影響を受けてしまうということです。こうした攻撃から工場を守るために必要とされているのは、それぞれ独自のICS環境にとって何が「正常」であるかをオンザジョブで学習し、脅威のほんのわずかな兆しであっても検知することができるサイバーセキュリティソリューションです。
DarktraceのAIはOTとITの両方に渡ってあらゆるユーザー、デバイスおよびコントローラの通常の「生活パターン」を学習します。組織内のさまざまなシステムのデータを継続的に分析することにより構築された、ビジネスのそれぞれの側面およびダイナミックに分散したワークフォースがどのように相互に動作しているかについてのAI独自の理解は、いかなる悪意あるアクティビティも発生後数秒で検知することができます。EKANSの事例では、この自己学習型アプローチであれば最初に感染したデバイスに関して多数の異常な挙動が特定されていたはずです。これには未知の接続先へのビーコニングや暗号化ソフトウェアへの不審な接続が含まれます。
Darktraceの脅威検知を補完するのはAIの自動対処能力です。脅威を正確に的を絞って無害化し、ビジネスのさまざまな活動を通常通り継続することを可能にします。自動対処はすでに、世界中の製造設備、病院、地方自治体において、実際にランサムウェアの阻止とオペレーション停止の防止に成功しています。
まとめ
EKANSは攻撃者達が1つの攻撃でITとOTシステムの両方を標的とすることに成功し始めたということを明らかにしました。これによってシステム間のギャップを埋めることのできるセキュリティプログラムの必要性はかつてなく高まりました。単一のセキュリティソリューションで両方の環境を防御できれば、組織全体に総合的な保護が実現されます。SaaS、Eメール、クラウド、従来型ネットワーク、OT環境に分散したデータポイントを相関づけることにより、Cyber AIは最も巧妙な攻撃であっても識別し阻止することが可能です。
OT分野の脅威は進化を続け、これまでになく高速かつ苛烈なものとなっていくであろうというのが現実です。ランサムウェアが引き起こす可能性のある被害の大きさを考えれば、産業用システムをダイナミックに分散したワークフォースとあわせて保護し、動きの速い脅威を複雑なビジネス全体で検知し阻止できるセキュリティの重要性はかつてなく高まっていると言えます。産業用システムの機能は、そのことにかかっています。