エネルギー業界を狙う緊迫したセキュリティ脅威の現状
想像してみてください。
- 電力会社の従業員がスパムメールのリンクをクリックしパソコンやサーバがマルウェアに感染…
- 攻撃者が社内ネットワークに侵入し、発電所のシステムが制御を失い、電力の供給が停止…
- ハッカーからの身代金の要求や政治的影響力を行使しようとする諸外国からの圧力…
いったい何をすべきでしょうか?
エフセキュアの脅威リサーチャーのSami Ruohonen(サミ・ルオホネン)は、次のように述べています。「国家重要インフラ(Critical National Infrastructure: CNI)に対するスパイ活動やサボタージュ攻撃といったサイバー攻撃は、年を追うごとに増加しており、この傾向は今後も続くと思われます」
さまざまな攻撃者が、重要な社会インフラ企業のネットワークへの侵入を試みています。攻撃者はそれぞれ独自の動機を持ち、攻撃のための独自のテクニックとノウハウを持っています。その結果、インフラ企業は、金銭的な利益を得ようとする犯罪者や、国家が関与するサイバー攻撃の危険に常に晒されています。
サイバー攻撃が激化する背景には、国家が開発したハッキング手法やツールが記載された資料が暴露されコモディティ化している点が挙げられます。 たとえば、Shadow Brokersと呼ばれるハッキング・グループによる、NSA開発のエクスプロイトのインターネットへの公開や、CIAの機密文書“Vault 7”がウキリークスで公開されています。 これらを背景として、小規模なサイバー攻撃者グループですら、国家が支援するAPT(Advanced Persistent Threat)グループと同等の攻撃能力を有し、高度な攻撃の実行が可能になっています。
2013年頃から盛んに使われているCryptoLocker(Windowsが動作しているコンピュータを標的にするマルウェア)は、攻撃者に最も「利益をもたらす」ランサムウェア攻撃のひとつで、2013年の9月からの4か月間で、25万台を超えるコンピュータが感染しました。その感染拡大に使用されていたのはネットバンキングを狙うボットネットGameover ZeuSでした。 このボットネットが収束するまでに、攻撃者は300万米ドル以上の利益を得ています。
その結果、CryptoWallやTeslaCryptのような次世代ランサムウェアを生み出しました。最新のランサムウェアのひとつであるLockerGogaは、ノルウェイのアルミニウム製造企業Norsk Hydro社へのサイバー攻撃で使用されました。 この攻撃によって同社のITシステムが感染し、すべてのデータが暗号化され、一時的な工場の操業停止などの被害をもたらしました。
APTグループは、スパイ活動の機会を狙って国家重要インフラ企業のネットワークに潜入し、潜伏を続けることで、必要に応じて政治的影響力を行使できるようにします。 最新のエフセキュアによる調査では、国家支援のハッカーは極めて専門的で、たとえ数年かかっても標的とした企業をハッキングすることが分かっています。
エネルギー業界が直面している9つの際立ったセキュリティ脅威
- Operation Sharpshooter (ラザルスグループ)
- APT33
- GreyEnergy(BlackEnergyグループの後継者)
- BlackEnergy1、2、3マルウェア
- Industroyerマルウェア – CrashOverrideとしても知られている
- Dragonfly/Dragonfly 2.0
- Havexマルウェア
- ICSサイドチャネル攻撃
- TRITON/TRISISマルウェア
エフセキュアのレポート「The State of the Station(英語)」の中で、APTグループが標的とした企業を詳細に事前調査している点が強調されています。攻撃者は防御側よりも多くの時間を費やし、何カ月もの時間をかけてじっくりと攻撃を計画します。攻撃計画の立案の中には、ソーシャルメディアに夢中になっている従業員の特定や、既知のソフトウェアのセキュリティホールが修正されたかどうかをテストすることも含まれています。
サイバーセキュリティ対策に於いて、人は最も弱いリンクであり、APTグループにとって従業員は格好の標的とみなされています。マルウェアへの感染を促す方法は、Eメールの添付ファイルとして配信し、それをクリックしたユーザーを感染させる方法だけではなく、特定の企業の特定の人物を標的にして、Eメール内の悪質なリンクをクリックさせるスピアフィッシングと呼ばれる方法も使われます。最近の注目すべき傾向は、Eメールに添付されていたマルウェアが、個人のモバイルデバイスを感染させ、結果的に個人のモバイルデバイスを介して、攻撃者によって企業のネットワークや機密データがアクセスされるケースです。
「その性質上、国家重要インフラ企業は、平時でさえも諸外国の格好の標的になります」とSamiは説明しています。
多くのインフラ企業では、24時間・365日ノンストップでのインターネット接続が当たり前になり、スタクスネット攻撃(イラン国内の核燃施設を破壊するために開発されたマルウェア)が発生した時期よりも数十年も前にインフラが構築されています。 当時、サイバーセキュリティは現実的な脅威ではなかったため、古いコンピュータプロトコルとシステムには、私たちが今日当然のこととしているセキュリティ制御機能がまったく組み込まれていませんでした。
今日、企業ネットワークがハッキングされることは、「もし」ではなく「いつ」の問題です。エネルギー業界の企業は、未知の戦術、テクニック、そして手順(TTP)を広範囲に展開している隠れた敵と戦う必要があります。
企業は、無力ではありません。対応策の選択肢があります。米国の陸軍用語として発生したVUCA(ブーカ)と呼ばれるアクロニムも選択肢のひとつです。これは冷戦後の状況を表す、Volatility(変動性)、Uncertainty(不確実性)、Complexity(複雑性)、およびAmbiguity(曖昧性)の頭文字です。
エネルギー業界の企業のVUCAフレームワークは、どの外部要因が組織のリスクに影響を及ぼすのか、標的にしているのは誰か、その理由と方法に着目して想定される攻撃から防御するセキュリティ戦略を必要とする重要なIT資産を特定することです。
また、エフセキュアのSami Ruohonenは、エネルギー産業界の企業にサイバーセキュリティ標準を見直し、エンドポイントでの検知と対応(EDR)ソリューションのような最新テクノロジーを導入するように進言しています。
これは、十分な知識・経験を持つサイバーセキュリティチームを編成できない企業にとっては特に有効なアプローチです。また、「従来のエンドポイント保護製品を迂回する可能性がある高度な脅威や標的型攻撃を検知し対応する機能を飛躍的に向上させるための」即効性がある方法です。
また、「マネージドEDRソリューションは、24時間・365日対応するニーズに応え、監視、警告、および対応サービスを提供することができます。つまり、社内のITチームは営業時間中の運用と検知イベントをレビューすることに集中し、その他の業務は外部の専門のサイバーセキュリティチームに任せることができるのです」とSaminは結論付けています。
カテゴリ