米国家安全保障局(NSA)と米サイバーセキュリティ・インフラセキュリティ局(CISA)は、運用技術(OT)と産業用制御システム(ICS)のアセットに対するサイバー攻撃を防ぐための対策を紹介するアドバイザリーを共同で発表した。
提供:Getty Images
ロシアのウクライナ侵攻に関連するウクライナへのサイバー攻撃が、欧米の重要インフラにも波及する恐れが高まっている。
NSAとCISAが今回発表した文書「Control System Defense: Know the Opponent」では、政治的・経済的な利益、破壊行為などを目的としてOT/ICSのシステムを標的にしているAPT攻撃グループについて説明している。これには、サイバー犯罪集団と国家の支援を受けて活動している集団の両方が含まれる。
こうした攻撃を受けると、最悪の場合は、人命を失ったり、物的な損害を受けたり、国家の重要な機能が停止したりする可能性があるが、そこまで行かないケースであっても、さまざまな混乱や騒動が起きる危険がある。
NSAの制御システム防衛専門家であるMichael Dransfield氏は、米国時間9月22日に、「これらのシステムの所有者や運営者が攻撃からシステムを守るためには、国家の支援を受けたアクターやサイバー犯罪者が及ぼそうとしている脅威を十分に理解する必要がある」と述べ、「今回は、私たちがシステムを強化し、次の攻撃を防げるように、悪意を持ったアクターの手口を明らかにすることにした」と今回のアドバイザリーを公開した理由を説明した。
アドバイザリーで指摘しているように、OT/ICSデバイスの設計は一般に入手可能であり、その中には脆弱なITコンポーネントを持つものもある。
NSAとCISAは、「それに加えて、ITやOTのシステムを悪用するためのツールが多数出回っている。その結果、悪意を持ったサイバーアクターがICSネットワークに及ぼすリスクは増大している」と述べている。
両機関はさらに、最近のICSデバイスが遠隔から制御・操作できるようにインターネットやネットワークに接続されていることで、攻撃対象となりうる要素が増えていることも懸念している。
アドバイザリーでは、攻撃者がOT/ICSに侵入する際の「手順」を紹介している。このセクションでは、ターゲットの選択、情報の収集、システムを操作するためのツールやテクニックの開発、最初のアクセスの獲得、重要インフラのターゲットに対するツールやテクニックの実行、がどのように行われるかを詳しく説明している。
NSAとCISAは、運営者がリスク緩和策を検討するに当たって考慮すべき点を挙げている。例えば、自社のシステムについて公開する情報を決定する際に、リスクをもっと意識することもその1つだ。また運営者は、システムが狙われるかもしれないと考えるのではなく、すでに狙われていると仮定すべきだと述べている。アドバイザリーでは、セキュリティソリューションが多すぎて運営者が「選択麻痺」に陥ったときに取るべきリスク緩和戦略についても説明している。
挙げられている戦略には、システムのハードウェア、ファームウェア、ソフトウェアに関する情報や、システムから出力された情報の公開を制限することが含まれている。また、リモートアクセスポイントの目録を作成して安全を確保することや、スクリプトやツールの実行を正規のユーザーやタスクに限定すること、定期的にセキュリティ監査を実行すること、ネットワーク環境を固定しておくのではなく、定期的に変化させることなどを勧めている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
