Human Error Fuels Industrial APT Attacks, Kaspersky Reports
2023/05/30 InfoSecurity — サイバーセキュリティ企業である Kaspersky が、産業部門における APT 攻撃の主要因を特定した。今日の最新レポートで取り上げられている、その第一の要因は OT (Operational Technology) ネットワークにおける隔離の不在である。Kaspersky の専門家たちは、エンジニアリング・ワークステーションが、IT と OTのネットワークに接続されている事例を確認している。このようなネットワーク構成に依存した隔離では、熟練した攻撃者により操作される可能性が生じる。その結果として、隔離されているように見えるネットワークへのマルウェア感染や、その後のマルウェア・トラフィックの管理などが可能になってしまう。
Kaspersky の Head of the ICS Cyber Emergency Response Team である Evgeny Goncharov は、「OT ネットワークの分離が、ネットワーク機器の設定だけに依存している状況では、経験豊富な攻撃者により再構成が可能であり、常に彼らが有利なように、それらの機器が設定されてしまう」と説明している。
また、従業員や請負業者が、情報セキュリティ対策に十分な注意を払わない状況で、産業用ネットワークへのアクセスを許可されることが多いため、人的な問題がサイバー犯罪の大きな要因であると、この報告書は述べている。
また、一時的なものであるはずの TeamViewer や Anydesk などのリモート管理ツールが、気づかれないままに稼働し続け、攻撃者による容易な侵入を許している場合もある。
Kaspersky の調査では、IT ネットワークへのアクセス権を持つ従業員や請負業者が、なんらかの不満を原因として、加害者になってしまった事例も明らかになっている。
OT 資産の保護が不十分だと、マルウェアの拡散が容易になるため、上記のようなリスクは増大していく。その要因として挙げられるのは、セキュリティ・ソリューション・データベースの旧式化や、セキュリティ・コンポーネントの無効化に加えて、スキャンや保護対象から除外されるものが多すぎるケースなどである。
安全が確保されないセキュリティ・コンフィグレーションも、APT 攻撃を助長する役割を果たす。また、OT ネットワークにおける保護の欠如や、産業用ワークステーション/サーバを、最新の状態に保つことができない場合も同様である。
Evgeny Goncharov は、「サーバの OS を更新する場合には、開発した固有のソフトウェアも更新する必要性が生じるため、全体的なアップグレードへと至ることになり、高額の支出が予想される。その結果として、産業用制御システムのネットワークには、古いシステムが存在している。意外なことに、比較的に容易に更新できると思われる、インターネット向けシステムであっても、長期間にわたり、脆弱な状態におかれることがある。したがって、現実の攻撃シナリオが示すように、OT を深刻なリスクにさらし、攻撃の可能性を高めることになる」と付け加えている。
以前にも、Kaspersky の 2022年の調査研究により、産業現場で使用される OT コンピュータの 40.6% が、マルウェアの影響を受けると示唆されていた、それから数ヶ月後に、今回のレポートが発表された。
OT ネットワークは、適切に隔離されているのでしょうか? また、隔離されていたとしても、そこで用いられるオープンソース・パッケージなどを介した、サプライチェーン攻撃の影響は受けないのでしょうか? 2021年末に大騒ぎとなった Log4j の脆弱性ですが、2021/12/15 の「Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで」の後書きに記したように、Siemens や Schneider なども Log4j に関するアドバイザリを提供していました。いくら隔離したところで、開発環境からつながるラインは、切ることが不可能になっているのだろうと推測されます。よろしければ、カテゴリ ICS も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.