現代社会では標準化は良いことと見なされることも多いですが、特にサイバースペースではモノカルチャー、つまり多様性を欠いた均質な文化を生み出すことにはリスクがあります。 

Computer & Communications Industry Association が 2003 年に発表した論文の中で、研究者チームは世界的なサイバーセキュリティにおけるマイクロソフトの独占のリスクについて概説しました。当時、世界中のコンピューターの大半は Microsoft のオペレーティング システムを実行していたため、同じ種類のウイルスやワームに対して脆弱でした。

「Microsoft がほぼ独占状態であること自体がセキュリティ リスクを増大させるため、重要なインフラストラクチャが一撃で中断されないようにするためには、社会が単一ベンダーの単一オペレーティング システムへの依存を減らすことが不可欠である」と、『CyberInsecurity: The Cost of Monopoly』の著者らは述べています。 「目標はモノカルチャーを打破することでなければなりません。」

著者らは、政府が重要インフラ事業者に使用するオペレーティング システムの多様化を義務付ける政策や規制を作成し、それによって単一のウイルスが世界的な大混乱を引き起こすのを防ぐことを提案しました。

2010 年、著者のうち 2 人が、モノカルチャーの脅威に対する見方が変わったと説明するエッセイを書きました。彼らの視点が変わった理由の 1 つは、2003 年当時、IT モノカルチャーは比較的単純だと彼らが考えていたためですが、実際はそうではありませんでした。 

「2 台のコンピューターが同じ [オペレーティング システム] またはアプリケーション ソフトウェアを実行している可能性がありますが、それらは異なるファイアウォール、[侵入検知システム]、ルーター ポリシーを備えた異なるネットワーク内に存在することになります。これらは異なるウイルス対策プログラム、異なるパッチ レベル、異なる構成を持ち、異なるサービスを実行する異なるサーバーに接続されたインターネットの異なる部分に存在することになります」と、現在 IBM Resilient の最高技術責任者である Bruce Schneier 氏は Information Security 誌に書いています。 「これが、大規模なインターネット ワームが全員に感染しない理由の 1 つです。また、パッチ、新しいウイルス対策シグネチャ、新しい IPS シグネチャなどを迅速に開発して展開するネットワークの能力も同様です。」 

2015 年 12 月にウクライナの送電網がサイバー攻撃に見舞われ、約 225,000 人が停電したとき、重要インフラにおけるモノカルチャーのリスクがサイバー空間の外で明るみに出ました。ウクライナは回復しましたが、2016 年秋に別のサイバー攻撃に見舞われ、再び停電が発生しました。

ほとんどの東ヨーロッパと同様、ウクライナの送電網はソ連の一部だった頃に創設されました。ウクライナのシステムは標準化されており、全体的にまったく同じように動作するように設計されています。ウクライナは 1991 年に独立国家になって以来、電力網にある程度の多様化を構築してきました。 

「しかし、文化、考え方、古いシステムはすべて国中でかなり標準的であり、東の敵であるロシアと同じように見えます。なぜなら、すべてが古いソ連のモデルに基づいて構築されているからです」と、北米電力信頼性協会 (NERC) の CSO マーカス・サックスは言う。 「同じことを繰り返したり、考え方の多様性や物事の運営方法の多様性が欠けたりすると、それが弱点になります。」

ウクライナの攻撃

2015 年 12 月 23 日、オブレネルゴと呼ばれるウクライナの 3 つの地域配電センターが互いに 30 分以内にダウンし、約 225,000 人が停電しました。停電の原因: 組織的なサイバー攻撃であり、停電を引き起こしたと公的に認められた初めての攻撃でした。

オブレネルゴたちは配電網への電力を復旧するために手動操作を余儀なくされ、最初の数時間の停電の後、電力はすぐに復旧しました。しかし、SANS産業制御システムと電力情報共有分析センター(E-ISAC)が発行した「ウクライナ電力網へのサイバー攻撃の分析」によれば、影響を受けたオブレネルゴは配電システムを「運用上の制限モード」で稼働し続けた。

ウクライナは電力復旧後、米国国土安全保障省 (DHS) や NERC を含むセキュリティ ベンダーや政府パートナーと協力して、サイバー攻撃がどのように実行されたかを調査しました。

彼らは、攻撃者が管理または IT ネットワーク オペレーターに送信されたスピア フィッシング メールを使用して、オブレネルゴのビジネス ネットワークにアクセスしたことを発見しました。メールには Excel スプレッドシートの添付ファイルが含まれており、このファイルには BlackEnergy マルウェアが埋め込まれており、これを開くと、オブレネルゴのネットワークに Secure Socket Shell バックドアがインストールされます。

これらのバックドアにより、攻撃者は環境に関する情報を収集し、12 月 23 日の攻撃の 6 か月以上前にネットワークの他の領域にアクセスできるようになりました。 

「彼らの最初の行動の 1 つは、ネットワークを使用して資格情報を収集し、権限を昇格させ、環境内を横方向に移動したときに発生しました」と分析は述べています。 「この時点で、攻撃者はターゲットへの永続的なアクセスを確立するためのすべてのアクションを完了しました。」

攻撃者はこれらの盗んだ資格情報を使用して、監視制御およびデータ収集 (SCADA) ディスパッチ ワークステーションとネットワーク セグメントが配置されているネットワーク セグメントに侵入しました。攻撃者はこれらの接続を使用して、oblenergos の配布管理システム (DMS) と対話する方法を学習し、後で使用する悪意のあるファームウェアを開発しました。

彼らは、オブレネルゴの産業用制御システム (ICS) コンポーネントにアクセスし、環境全体に KillDisk と呼ばれる悪意のあるソフトウェアをインストールしました。その後、攻撃者は連携して攻撃を実行し、オブレネルゴスのブレーカーを開き、少なくとも 27 の変電所をオフラインにしました。また、オペレータがリモート コマンドを使用して変電所をオンラインに戻すのを防ぐために作成した悪意のあるファームウェアもアップロードしました。

「同じ期間に、攻撃者は、影響を受けた顧客が停止を報告できないようにするために、エネルギー会社のコールセンターに対して数千件の通話による遠隔電話によるサービス拒否攻撃も利用しました」と分析は述べています。 「当初、この攻撃は、顧客が停止の規模をオペレーターに知らせないようにするためのものであるように見えました。しかし、証拠全体を検討すると、カスタマー サポートに連絡できなかったり、停止に関する明確な情報が得られなかったりするため、顧客をイライラさせるためにサービス拒否が実行された可能性が高くなります。」

分析の著者らは、停電が BlackEnergy、バックドア、KillDisk、または悪意のあるファームウェアによって引き起こされたものではないことにも言及しています。代わりに、これらの攻撃コンポーネントは、オブレネルゴのシステムにアクセスし、電力の復旧を遅らせるために使用されました。

「しかし、攻撃者の最も強力な能力は、ツールの選択や専門知識ではなく、環境を学習し、高度に同期された多段階、マルチサイト攻撃を実行するために必要な長期的な偵察操作を実行する能力にありました。」

なぜウクライナなのか? 

ウクライナの送電網への攻撃については誰も犯行声明を出していない。ウクライナ治安当局はロシアを非難しているが、その主張を裏付ける公的に入手可能な証拠は提供していない。

しかし、攻撃者がウクライナをこの種のサイバー攻撃の魅力的な標的とみなす理由はたくさんある、と元アーバー ネットワークスに勤めていたリテール サイバー情報共有センターのサイバー インテリジェンス アナリスト アーニー デニス氏は言います。

ロシアは2014年にウクライナの一部であるクリミアを併合し、それ以来ウクライナ東部の国境沿いに軍を駐留させている。併合後、制裁という形を除いて、欧州連合や米国からの大きな反発はなかった。 

ロシアが送電網に対してサイバー攻撃を実行する能力を開発しており、その手法をテストし、その結果ほとんど影響を受けないことを望んでいるのであれば、ウクライナを標的にするのは良い考えかもしれない、とデニス氏は言う。

「ウクライナは、隣人の回復力を試して限界をさらに広げるのに最適な遊び場です」と彼は説明する。 「もし（攻撃者が）合法的な欧州連合の国やNATO同盟国でこれを行ったとしたら、彼らが心配しなければならない懸念は他にもたくさんあります。」

それらの懸念には、販売代理店のネットワークに留まり続けることができること、より堅牢な防御態勢、報復に直面することが含まれます。

「でも、すでに遊んでいる国で何も問題なく遊んでいるなら、もう少し進めて他に何ができるか考えてみてはいかがでしょうか?」デニスは付け加えます。

彼の考えは、報告書「When the Lights Went Out: A Comprehensive Review of the 2015 Attacks on Ukrainian Critical Infrastructure」を発表したブーズ・アレン・ハミルトンの調査結果と一致している。報告書によると、2015 年 12 月のサイバー攻撃は一連の攻撃の最新のものにすぎません。

「この長期にわたるキャンペーンは、サイバー攻撃を利用してウクライナの社会政治的構造を弱体化させるという、組織化された能力と関心を持つ単一の攻撃者による、大規模で協調的な取り組みを反映している可能性が高い」と報告書は述べている。 

たとえば、2014 年以降、ウクライナの電力部門、鉄道部門、テレビ部門、鉱山部門、地方政府および公共文書館に対して他のサイバー攻撃が実行されました。2015 年 12 月のサイバー攻撃で使用されたマルウェアである BlackEnergy は、これらの以前の攻撃の一部で使用されました。

これらの攻撃は、攻撃者に金銭的利益を提供するように設計されていないため、メッセージを送信するために行われた可能性があると報告書は述べています。

「政治的動機に基づくサイバー攻撃は新しい外交政策手段ではないが、潜在的な標的となる業界や組織は拡大している」と報告書は述べている。 「サイバー攻撃は、特に重要なインフラプロバイダーに対する攻撃において、強力な政治的ツールとなります。産業用制御システムのオペレーターは地政学的な争いを避けられず、実際、新たな主な標的となる可能性があります。」

防御側にとってハッキングが意味するもの

2015 年 12 月のサイバー攻撃の背後に誰がいるのかは明確ではありませんが、犯人は十分なリソースを備え、よく組織されており、ウクライナの電力網システムの最大の障害点、つまり 2 要素認証なしで制御環境へのリモート アクセスを許可するオペレーターのセキュリティ体制を特定することができました。

この攻撃は、2012 年のサウジアラムコへのハッキングや 2014 年のソニー ピクチャーズへの攻撃など、コンピューターやサーバーを標的としたこれまでの破壊的な攻撃からのエスカレーションを示しています。

「標的はもっぱら民間インフラと言えるため、これらの攻撃の実施においてはいくつかの一線を越えていた」とSANSの報告書は述べている。 「スタックスネット（イランの核開発計画に対する攻撃）のような歴史的な攻撃は…軍事目標を外科的に標的としたものであると主張される可能性がある。」

世界の一部の地域でも、同様の種類のサイバー攻撃のリスクが高まる可能性があるとデニス氏は言います。

「もし誰かが本当にアフリカに影響を与えて権力を奪おうと思ったら、ウクライナでやったのと同じような成功を収めることができると私は信じています」と彼は説明する。 「米国と欧州連合が電力インフラについてあれほど頑固である理由は、それがいつ起こるか分からないという絶望と暗い考えが続いていることを考慮して、電力インフラを堅牢で安全なものにするために時間と資金と努力を費やしていることを事実として知っているからです。」

ブーズ・アレンの報告書によると、破壊的なサイバー攻撃は米国の重要インフラに打撃を与えていないが、2015年度に米国のエネルギー部門のメンバーが46件のサイバーセキュリティインシデントを産業制御システムサイバー緊急対応チーム(ICS-CERT)に報告した。

「ICS-CERT は、セクターごとのインシデントの種類の内訳を公表していませんが、全セクターにわたって報告されたインシデント合計の 31% が通信事業者の資産への侵入成功に関係しており、そのうちの 3 分の 1 には制御システムへのアクセスが含まれていたことが明らかになりました」と報告書は述べています。 

公表された数少ない事件の 1 つは、米国政府がロシア政府の支援を受けていると疑う BlackEnergy キャンペーンでした。ただし、このキャンペーンは送電網に「損害を与えたり、改変したり、その他の方法で破壊する」ことを試みたものではありません。

この種のキャンペーンは、「米国のエネルギー部門に対する損害または混乱をもたらすサイバー攻撃の脅威は低い」というDHS情報分析局の情報評価の結果と一致しています。

国家のサイバー攻撃者が米国のエネルギー部門の企業ネットワークを標的にしているが、主な目的はサイバースパイ活動であることが報告書で判明。

「セクターの産業制御システム ネットワークに対する APT 活動は、おそらくマルウェアの導入を促進するための永続的アクセスの取得と維持に焦点を当てており、米国との敵対行為が発生した場合に損害を与える攻撃または破壊的な攻撃を行うためにのみ実施される国家緊急事態計画の一部である可能性が高い」と評価書は述べている。 

DHS の分析は 2016 年の春に発表されましたが、DHS はこの記事に関する最新の脅威分析の要求に応じませんでした。 

しかし、他の専門家は、規制当局が送電網に対するサイバーリスクに対処するための措置を講じているため、ウクライナに対する攻撃のような攻撃が米国やカナダの送電網に対して有効であるかどうかを疑問視している。

NERC は 2006 年に、北米の大規模電力システムに対するサイバーセキュリティの信頼性基準を作成する取り組みを開始しました。このシステムは、45 万マイルを超える高電圧送電線と 55,000 を超える送電変電所を備えた主要な目標です。Navigant Consulting のセキュリティおよびリスク管理ディレクターであり、NERC の重要インフラ保護プログラムの元ディレクターである CPP のブライアン・ハレル氏は述べています。

「NERC と業界は、セキュリティ保護に重点を置いた必須の重要インフラ保護基準 (CIPS) を何度も繰り返してきました」とハレル氏は言います。これらの基準に従わない場合、違反ごとに 1 日あたり最大 100 万ドルの罰金が科される可能性があります。 

そして、Harrell 氏は次のように付け加えています。「これらは最低基準であり、確認する必要があることを覚えておくことが重要です

改善のベースラインとして。電力会社は常にシステムを評価し、ソフトウェアにパッチを適用し、復旧手順をテストする必要があります。」

米国が同様の攻撃を効果的に防止するのに役立つのは、NERC、E-ISAC、連邦政府、民間部門間の堅牢な情報共有システムです。 

「ここ数年、DHS、FBI、米国エネルギー省は、情報共有の改善と、速報、警告、機密レベルのブリーフィングなどの諜報製品への機密アクセスの提供において大幅な進歩を遂げてきました」とハレル氏は言います。 「これらのデータ ポイントは、脅威を軽減し、リスクを軽減し、内部セキュリティ ポリシーを更新するために使用されています。」

このシステムは米国に存在しており、NERCはカナダ政府およびカナダの電力会社と協力して同様の情報共有ネットワークを構築しているとサックス氏は言う。 

しかし、サックス氏は、こうした情報共有センターは民間企業が参加する自主的な活動であり続けることが重要であると述べています。

「政府が所有する重要なインフラはほとんどありません。政府に民間セクターのシェアを実際に要求することはできないため、イライラさせられます。なぜなら、それを行うと、政府は法律を満たすために必要な最低限のものだけを共有することになるからです」とサックス氏は説明する。 「自発的な共有を奨励すると、より多くの情報を共有できるようになります。」

米国とカナダの電力網の強化を支援するために、NERC は GridEx と呼ばれる 4 つの隔年演習を後援し、シミュレートされたサイバーおよび物理的セキュリティの脅威に連携してどのように対応し、そこから回復するかを電力事業者に実証する機会を提供しました。 

最初の演習は 2011 年 11 月に開催され、NERC は次の演習である GridEx IV を 2017 年 11 月に開催する予定です。NERC は参加者に詳細なシナリオを提供し、送電網運用者が各自の訓練ニーズに適応できるようにするとサックス氏は言います。

「私たちは、電気がどのように遮断されるかについてはあまり考えず、通信事業者コミュニティにストレスを与え、どのように対応するかを考えさせる演習を構築しようとしています」とサックス氏は言います。 「これにより、シナリオを深読みして『物理的にそんなことは起こりえない』と言う人を排除できます。」

しかし、北米の電力網の安全性を強化する最後の要因は、規制の枠組みにもかかわらず、電力網のほとんどが私有で運営されており、多様なシステムであるという事実です。

「結果がどのようなものである必要があるかについては合意するかもしれませんが、資産所有者がその結果を達成できるシステムを最大限に柔軟に設計できるようにします」とサックス氏は言います。 「つまり、さまざまなアプローチがあり、そこに侵入しようとする悪役がどこかで成功を収めたとしても、アプローチが異なるため、その成功が他の場所でもうまくいくとは限りません。」

北米のシステムは当初、多様性を持たせるように設計されたのではなく、回復力を持ち、問題に適応するように設計されたとサックス氏は言います。

「ここでうまくいく傾向にあるのは、地域の状況にグリッドの設計を適応させることです。北米で私たちに代わって働くのは、米国とカナダの多様性の文化です。これは、『物事を違ったやり方でやっても問題ありません。厳密に統一する必要はありません』という文化です」とサックス氏は言う。 

そして、セキュリティの設計と実装におけるこの多様性により、北米の電力網はより安全になる、とサックス氏は言います。攻撃者がまったく同じアプローチを使用して電力網の複数の側面を破壊することはできないからです。

「しかし、だからといって警戒を解くわけではありません」とサックス氏は付け加えた。 「思考する敵、つまり人間の心と対峙するとき、防御側は攻撃側の新たな手段に目を光らせ、決して油断してはなりません。彼らは自分たちの持っている強みを活用しなければなりませんが、多様性はその大きな強みの1つです。」