米国エネルギー業界を狙うサイバー攻撃グループの現状

産業制御システム(ICS)を利用する公益事業への攻撃は増加の一途を辿っています。石油ガス水道、電力などのエネルギー産業は、ICS環境の侵害を狙うサイバー犯罪者にとって価値の高いターゲットであることは明らかです。これらのエネルギー産業とその施設は世界中のどこの経済にとっても必要不可欠であるため、攻撃者はそれぞれの目的に基づき、運用妨害の攻撃を試みます。ICSのネットワークへの数々の侵入が確認されていることも、攻撃対象としてのエネルギー業界への関心の高まりを表しています。この状況を踏まえ、産業セキュリティ会社Dragosは、米国の電力施設を標的にする7つのグループについて報告しました。ここでは電力網を侵害し、運営を妨害する実行能力を持つグループのうち、特に注目される「Dymalloy(ダイマロイ)」「Electrum(エレクトラム)」「Xenotime(ゼノタイム)」の3つについて概要を説明します。

■「Dymalloy」とは

攻撃グループ「Dymalloy」は、大規模な機密情報収集活動によって情報技術(IT)と運用技術(OT)双方の環境に対する、アクセスの持続化を意図しています。Dymalloyの攻撃キャンペーンはヨーロッパ、北米、トルコで展開されています。一部では、「Dragonfly」との繋がりが推測されています。 

■「Electrum」とは

攻撃グループ「Electrum」は、「電力設備のプロセスおよびICSのプロトコルに変更を加えることができるマルウェア」の開発能力、およびリソースを持つと伝えられています。このグループは、2016年にウクライナの電力網を襲った破壊的攻撃にも関与しているとされてます。

■「Xenotime」とは

3番目の攻撃グループ「Xenotime」は、2017年に中東の石油およびガス施設をターゲットに、「TRITON(別名TRISIS)」による攻撃を実行したグループです。Xenotimeは、最初にSchneider Electricの安全計装システム「Triconex」にリモートアクセスし、WindowsコンピュータをベースとしたワークステーションへTritonを侵入させ、コントローラのプログラムを改変しました。以来、Xenotimeは攻撃活動を他の地域の産業にも拡大し、特に米国の電力網を対象に調査を展開しています。

■狙われるサードパーティのリスク

報告ではさらに、OEMメーカーやサードパーティのサプライヤー、そして通信サービスプロバイダが、サプライチェーン攻撃において重要ポイントとして利用されるおそれがあると指摘されています。トレンドマイクロの「2020年セキュリティ脅威予測」では、とりわけ製造に係るサードパーティへの安易な信頼がセキュリティ上の大きなリスクとなる可能性を強調しています。サードパーティが侵入の踏み台として利用され、セキュリティ対策全体を台無しにしてしまうおそれがあります。

金銭目的や政治的な理由、あるいは軍事目的など、攻撃者はそれぞれ異なる動機を持ってICSへの攻撃を実行します。攻撃は通常、ターゲット環境に対する偵察活動から始まります。そこから、ネットワーク内への足がかりを得るためにさまざまな戦術が利用されます。攻撃者は、ソフトウェアの脆弱性やその他のシステムの弱点を利用して最終的な攻撃活動を実行することもあります。

■産業制御システムを保護するには

物理的なユニットとデジタルなネットワークの統合が進むにつれて、産業環境におけるセキュリティはいつにもまして重要となってます。サイバー攻撃者にとってこのような集中化は、ネットワーク内を自由に探索するために好都合であり、ITシステムとOTシステムを行き来して諜報活動とプロセスの妨害を実行することを可能にします。

ICS環境に対する攻撃は複雑になる場合もありますが、セキュリティの強いパスワードの使用や、2要素認証(2FA)の採用など、基本的なセキュリティを正しく実践することが重要です。企業や組織がICSを保護するために採用できる他の防御戦略を以下に示します。

  • アクセス権の管理と制御。特権の付与と認証の手順を設定することにより、物理的アクセスかデジタルアクセスを問わず、デバイス、ネットワーク、またはサービスへのアクセス制御を定義する
  • 侵入検知。不正な可能性のあるイベントが存在しないか、ネットワーク内のシステムアクティビティを定期的に監視する
  • ネットワークセグメンテーション。システムをセキュリティゾーンごとに明確に区切り、システムの重要領域から隔離するための保護層を実装する
  • システムの強化。さまざまなシステムコンポーネントの機能をロックし、不正アクセスや改変を防ぎ、不要な機能を削除し、既知の脆弱性について修正プログラムを適用する
■トレンドマイクロの対策

ICS環境に対する防御においても、単独で万全な対策はありません。複数のレイヤーにおいて複数の技術で防御する多層防御の考えが必要です。ICS環境におけるトレンドマイクロの対策に関しては以下を参照ください。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)