Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米国重要施設はサイバー攻撃を想定せず2日止まる

ランサム攻撃によって米国の天然ガス圧縮施設が被害を受けた事で2日間運用が停止したとCISAがアラートを出しました。

www.securityweek.com

 

 

CISA(Cybersecurity and Infrastructure Security Agency)のアラート (2/18)

www.us-cert.gov

 

攻撃者はスピアフィッシングを使用して施設のITネットワークへの初期アクセスを取得し、その後、OTネットワークへのアクセスをなんとかすることができました。その後、ハッカーは、ITネットワークとOTネットワークの両方でWindowsマシンにファイルを暗号化する汎用ランサムウェアを展開しました。

これにより、ヒューマンマシンインターフェイスHMI)、データヒストリアン、およびポーリングサーバーが混乱し、低レベルの産業用制御システム(ICS)からのデータを処理できなくなりました。人間のオペレーターはプロセスを監視できなくなりましたが、CISAは、攻撃がプログラマブルロジックコントローラー(PLC)に影響を及ぼさず、標的となる組織が操作の制御を失うことはないと述べました。

それにもかかわらず、被害者は、操作を停止することで攻撃に対応することにしました。ランサムウェアは1つのファシリティに直接影響するだけでしたが、他の圧縮ファシリティもパイプライン送信の依存関係のために操作を一時停止するよう強制されましたCISAは、この事件によりパイプライン資産全体が約2日間操業停止したと述べた。

(Security Week記事より引用)

 

キタきつねの所感

元ソースであるCISAのアラートには施設名が書かれていませんし、インシデントが発生した時期も明示されていません。重要なのは、ガス関連施設1か所が2日止まったのではなく、他の施設(サプライチェーン)の運用、つまり(この施設が接続する)パイプライン全体を2日止めたという事です。

攻撃に関しては、スピアフィッシング(標的型攻撃)が初期の段階だと書かれています。これはメールだと推測されますが、この段階では施設のITネットワークが侵害されただけでした。しかしこの後、攻撃者は、OTネットワークへの乗り移りに成功しています。その上でITネットワークとOTネットワーク上のWindows端末に汎用ランサムウェアを展開しています。

この事から推定されるのが、ITネットワークとOTネットワークの分離(ネットワークセグメンテーション)に失敗していたという事です。

その事が原因で、Windows系端末のファイルが暗号化され、ヒューマンマシンインターフェイスHMI)、データヒストリアン(データ収集)サーバ、ポーリング(データ転送)サーバが処理出来なくなり、運用を停止する事につながります。

OTネットワークへの攻撃と言うと、Stuxnet等でも攻撃対象となったPLC(プログラマブルロジックコントローラー)を狙うのがAPT攻撃の主流だった気がしますが、今回の攻撃はPLCに影響が無くても「重要インフラが止まる」事が改めて実証されてしまったとも言えます。

 

ネットワーク分離以外の原因として挙げられていたのは、緊急時対応計画サイバー攻撃が含まれていなかった事です。

被害者の既存の緊急時対応計画サイバー事件ではなく物理的な安全に対する脅威に焦点を合わせていました。計画では完全な緊急宣言と即時の停止が求められましたが、被害者はインシデントの運用上の影響が計画で予想されるものよりも深刻ではないと判断し限定的な緊急対応措置を実施することを決定しました。

ZDNet記事より引用)※機械翻訳

 

攻撃者は、PLCまで侵害が出来なかった為、重要システムの制御・操作をする事を諦め、HMI(監視端末等)をオフラインにした様です。しかし施設側のインシデント対応計画にはこうしたサイバー攻撃が想定されてなかった為、(機械の故障等を考慮した)システムのシャットダウン(再起動)と物理対策(部品交換)を講じる決断をします。

「被害者は交換用機器を入手し、最後の既知の良好な構成をロードして、復旧プロセスを促進することができました」と同機関は警告で述べています。

Security Week記事より引用)※機械翻訳

 

 

機械故障の手順を取ったが故に2日間を要したのかは分かりませんが、最初からサイバー攻撃にこうしたリスクがあると想定していたら、バックアップからの復帰の判断が早くなり被害が軽減できていた可能性は高かったと思われます。

 

CISAがアラートを出す事は、これだけサイバー攻撃が当たり前になりつつある時代に、物理セキュリティしか考慮しない施設が潜在的に多いと考えている事に他なりません。つまり同様な攻撃が、(日本を含む)重要インフラ施設で発生する懸念があるのだと思います。

 

 

参考:CISAのアラート内容(※機械翻訳

ネットワークと資産
・被害者はITネットワークとOTネットワークの間に堅牢なセグメンテーションを実装できなかったため、攻撃者はIT-OT境界を越えて両方のネットワークの資産を無効にできました。
・攻撃者は、コモディティランサムウェアを使用して、ITネットワークとOTネットワークの両方でWindowsベースの資産を侵害しました。組織のOTネットワークに影響を与えた資産には、HMI、データヒストリアン、およびポーリングサーバーが含まれていました。
・攻撃はWindowsベースのシステムに限定されていたため、施設で物理プロセスを直接読み取り、操作するPLCは影響を受けませんでした。
・被害者は、交換プロセスの機器を入手し、最後に確認された正常な構成をロードして、復旧プロセスを促進することができました。
・攻撃によって直接影響を受けるすべてのOT資産は、単一の地理的施設に限定されていました。


計画と運用
・攻撃者は、操作を制御または操作する能力を取得しませんでした。被害者は、施設での操作を読み取り、制御するHMIをオフラインにしました。地理的に別個の独立した中央管理室は、可視性を維持できましたが、運用の制御のために装備されていませんでした。
・被害者の既存の緊急時対応計画は、サイバー事件ではなく、身体の安全に対する脅威に焦点を合わせていました。計画では完全な緊急宣言と即時の停止が求められましたが、被害者はインシデントの運用上の影響が計画で予想されるものよりも深刻ではないと判断し、限定的な緊急対応措置を実施することを決定しました。これらには、物理​​的なセキュリティの強化と、運用モードからシャットダウンモードへの4時間の移行が含まれます。
サイバー攻撃の直接的な運用上の影響は1つの制御施設に限定されていましたが、地理的に異なる圧縮施設もパイプラインの伝送に依存するため、運用を停止する必要がありました。これにより、パイプライン資産全体の運用停止が約2日間続きました。
・一連の物理的な緊急事態シナリオを考慮しましたが、被害者の緊急時対応計画では、サイバー攻撃によるリスクを特に考慮していませんでした。その結果、緊急対応演習でも、従業員にサイバー攻撃に対処する意思決定の経験を提供することができませんでした。
・被害者は、サイバーセキュリティの知識のギャップと、考えられる広範なシナリオを、サイバーセキュリティを緊急時対応計画に適切に組み込むことができない理由として挙げました。

 

緩和策
すべてのセクターの資産所有者のオペレーターは、リスクベースの評価戦略を使用して、以下の緩和策を検討することが推奨されます。

 

計画と運用の緩和
・組織の緊急対応計画が、サイバー攻撃が業務に及ぼす可能性のあるあらゆる影響を考慮していることを確認します。これには、ビューの損失または操作、制御の損失または操作、および安全性の損失が含まれます。特に、応答プレイブックでは、意図的な運用停止を必要とするイベントと、運用を継続できる低リスクイベントを区別するための基準を特定する必要があります。
・劣化した電子通信を想定しながら、手動操作を含む代替制御システムにフェールオーバーする機能を実行します。緊急対応のプレイブックで学んだ教訓をキャプチャします。
・従業員は、可視性の喪失と制御のシナリオを組み込んだ卓上演習を通じて意思決定の経験を積むことができます。緊急対応のプレイブックで学んだ教訓をキャプチャします。
・運用上の可視性のために、単一障害点(技術的および人間的)を特定します。緊急対応プレイブックを開発およびテストして、1つのチャネルが侵害されたときに運用を可視化できる冗長チャネルがあることを確認します。
単一のパイプライン資産の運用を担当する地理的に離れた施設間で冗長通信機能を実装します。そのようなすべての施設にわたって計画活動を調整します。
サイバー攻撃が安全にもたらす物理的リスクを認識し、組織の安全トレーニングプログラムにサイバーセキュリティを統合します。
・組織のセキュリティプログラムと緊急時対応計画で、エンジニアやベンダーを含むOTネットワークアクセスの正当な必要性がある第三者を考慮するようにします。


技術的および建築的緩和
・ITネットワークとOTネットワークの間に堅牢なネットワークセグメンテーション を実装および保証して、ITネットワークが侵害された場合でも、敵がOTネットワークにピボットする能力を制限します。ITネットワークとOTネットワーク間の無秩序な通信を排除する非武装地帯(DMZ)を定義します。
・重要度、結果、および運用上の必要性を考慮して、OT資産を論理ゾーンに編成します。ゾーン間の許容可能な通信コンジットを定義し、セキュリティ制御を展開してネットワークトラフィック をフィルタリングし、ゾーン間の通信を監視します。産業用制御システム(ICS)プロトコルがITネットワークを横断することを禁止します。
・外部ソースからOTおよびITネットワークにリモートでアクセスするには、多要素認証 が必要です。
・ITネットワークとOTネットワークの両方で、通常のデータバックアップ [M1053]手順を実装します。バックアップが定期的にテストされ、ランサムウェアの拡散を可能にするネットワーク接続から隔離されていることを確認してください。
・アカウント使用ポリシー、ユーザーアカウント制御、および特権アカウント管理 により、ユーザーアカウントとプロセスアカウントが制限されていることを確認します。最小限の特権と義務の分離の原則に基づいてアクセス権を整理します。
フィッシングメールがエンドユーザーに届かないように、強力なスパムフィルターを有効にします。ユーザートレーニングプログラムを実装して、ユーザーが悪意のあるWebサイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにします。実行可能ファイルを含む電子メールをフィルタリングして、エンドユーザーに届かないようにします。
・ネットワークトラフィックをフィルタリングして、既知の悪意のあるインターネットプロトコル(IP)アドレスとの入力および出力通信を禁止します。Uniform Resource Locator(URL)ブラックリストホワイトリストを使用して、ユーザーが悪意のあるWebサイトにアクセスできないようにします。
・ITネットワーク資産上のオペレーティングシステム、アプリケーション、およびファームウェアを含むソフトウェアを更新します。リスクベースの評価戦略を使用して、パッチ管理プログラムに参加するOTネットワーク資産とゾーンを決定します。集中パッチ管理システムの使用を検討してください。
・Antivirus / Antimalwareプログラムを設定して、最新の署名を使用してITネットワーク資産の定期スキャンを実行します。リスクベースの資産インベントリ戦略を使用して、OTネットワーク資産を特定し、マルウェアの存在を評価する方法を決定します。
・電子メールで送信されたMicrosoft Officeファイルからのマクロスクリプトを無効にすることにより、実行防止を実装します。完全なMicrosoft Officeスイートアプリケーションではなく、電子メールで送信されたMicrosoft Officeファイルを開くには、Office Viewerソフトウェアの使用を検討してください。
・アプリケーションのホワイトリストを介して実行防止を実装します。これにより、システムはセキュリティポリシーで認識および許可されたプログラムのみを実行できます。一般的なインターネットブラウザーをサポートする一時フォルダーや、AppData / LocalAppDataフォルダーなどの圧縮/解凍プログラムなど、一般的なランサムウェアの場所からプログラムが実行されないように、ソフトウェア制限ポリシー(SRP)またはその他のコントロールを実装します。
・リミットネットワークを介したリソースへのアクセス 、特にリモートデスクトッププロトコル(RDP)を制限することもできます。リスクを評価した後、RDPが運用上必要であると考えられる場合、発信元を制限し、多要素認証を要求します。

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

配管パイプの背景素材

 

更新履歴

  • 2020年2月22日 PM(予約投稿)