Eコロナウイルスのパンデミックに対応して、送電網運営者を含む重要な人材が働き方を大幅に変更しました。前例のない措置として、州の電力市場の管理を担当する独立組織であるニューヨーク独立系統運用事業者（NYISO）は、ニューヨーク州で新型コロナウイルス感染症の感染者が急増する中、健康と安全を守り、送電網の信頼性を維持するため、制御室のオペレーターとサポートスタッフのグループを隔離すると2020年3月31日に発表した。

Thirty-seven people—31 grid operators, two managers, two facilities staff, and two café workers—volunteered to join the sequestration program at two NYISO sites outside of Albany, New York. They would work 12-hour shifts and live in separate trailers for the duration of the sequestration—a workflow that was established to minimize cross-contamination.

「私たちの主な仕事は、ニューヨークに電力を供給し続けることです」とNYISOは声明で述べた。 「オペレーターは最前線で、発電される電力量が州の約 2,000 万人の住民や企業の需要量と常に一致するようにしています。そのために、7 人のオペレーターがシフトごとに働き、数十のデジタル ディスプレイを監視し、エネルギー伝送のバランスを保つように発電機と配電会社に指示します。」

電力の管理、制御、配電に使用される機器の多くは、リモートからアクセスできるネットワークに接続されていないため、NYISO の運用を維持するにはこのような措置が必要でした。これは、停電を引き起こす可能性のあるサイバー攻撃への曝露を制限するために設計された制御メカニズムです。

しかし、技術力が向上し、パンデミック時など現場にリモートでアクセスする必要があるため、運用機器をインターネットに接続することを検討している公益事業者が増えている、とSANS Instituteの産業用制御システム(ICS)および監視制御・データ取得(SCADA)プログラムのテクニカルディレクターであるティム・コンウェイ氏が今年初めのICSセキュリティに関するバーチャルカンファレンスで述べた。

「重要なインフラでは、驚くべき速度でリモート接続が追加されています。」と彼は付け加えました。 「新型コロナウイルス感染症の後にこの状況が戻るかどうかはわかりません…しかし、そうなった場合には検出能力を向上させる必要があります。」

2015 年にウクライナの送電網が攻撃されて電力が遮断されて以来、攻撃者は重要なインフラストラクチャとその運用をサポートするシステムをターゲットにすることにますます集中しているためです。北米は特に有利なターゲットであり、最近の分析では、規制当局がサイバー攻撃によって引き起こされる大規模な停電の範囲を完全に理解していない可能性があることが判明しました。

風景

ICS は、制御システムとその機器を説明するために使用される用語であり、産業プロセスを操作または自動化するデバイス、システム、ネットワーク、および制御が含まれます。これらのシステムは、製造、輸送、エネルギー、水処理などの重要なインフラストラクチャの重要なコンポーネントです。

多国籍サイバーセキュリティおよび防衛企業トレンドマイクロによると、ICS の 1 つのタイプは SCADA システムであり、データの取得と送信に使用され、多くの場合、プロセスの入力と出力の集中監視と制御を提供するためにヒューマン インターフェイスと統合されています。

“The primary purpose of using SCADA is for long distance monitoring and control of field sites through a centralized control system,” Trend Micro explained in a blog post. “In lieu of workers having to travel long distances to perform tasks or gather data, a SCADA system is able to automate this task. Field devices control local operations such as opening or closing of valves and breakers, collecting data from the sensor systems, and monitoring the local environment for alarm conditions.”

In 2015 and 2016, Russian-backed hackers used cyber tactics to target Ukraine’s electric grid and shut portions of it down during the winter—wreaking havoc and causing authorities around the world to bolster their grid security.

これらの攻撃に先立って、米国会計検査院 (GAO) は 2003 年に、電力網を含む重要なサイバー インフラストラクチャの保護をハイリスク リストに加えました。2018 年、議会は GAO に対し、カナダおよびメキシコの一部と相互接続されている米国の電力網のサイバーセキュリティを監査するよう要請しました。

そので1 年間にわたって実施され、2019 年 8 月に発表された GAO の調査結果によると、電力網はサイバー攻撃、特に電力網の運用をサポートする ICS が関与するサイバー攻撃に対してますます脆弱になっていることが判明しました。消費者向けのモノのインターネット (IoT) デバイスの採用の増加と、グリッドの運用を同期するための全地球測位システムの使用も、グリッドの脆弱性の増大に寄与していました。

「攻撃対象領域の増加に関連するリスクをさらに悪化させるのは、多くの従来の産業用制御システムがインターネットなどのネットワークに接続することを意図していないため、サイバーセキュリティ保護を備えて設計されていないことです」と GAO は説明しました。 「たとえば、多くのレガシー デバイスは、コマンドが有効なユーザーから送信されたものであることを確認するためのコマンドを認証できず、最新の暗号化プロトコルを実行できない可能性があります。さらに、一部のレガシー デバイスには、デバイスに送信されたコマンドをログに記録する機能がないため、悪意のあるアクティビティを検出することがさらに困難になります。」

The GAO also found that grid owners and operators may not be able to identify ICS vulnerabilities in a timely manner because conventional IT vulnerability scanning could disable or shut down energy delivery systems. And for those who do identify vulnerabilities, they may not be able to quickly address them because of high availability requirements needed to support grid operations.

「サイバーセキュリティの脆弱性を修正するパッチを適用するには、通常、これらのデバイスをオフラインにする必要があります」と GAO は付け加えました。 「さらに、グリッドの所有者と運用者は、パッチを適用する前にパッチを厳密にテストする必要があります。セキュリティ パッチは通常、ベンダーによってテストされますが、ICS の機能が低下したり変更されたりする可能性があり、グリッドの運用に重大な影響を与える可能性があります。」

The GAO also found that the supply chain for ICS could also introduce vulnerabilities that make operators more vulnerable to cyberattacks.

「たとえば、製造業者や開発者は、故意か無意識に、産業用制御システムのデバイスやシステムに、機器にバックドアを提供したり、プログラムがインストールされると「コールホーム」できるようにする未承認のコードやマルウェアを組み込む可能性があります。」

しかし、最も懸念されたのは、連邦政府の評価では、サイバー攻撃が米国内で大規模な停電を引き起こす可能性があることを示しているにもかかわらず、政府はそのような事件の影響についての理解を欠いていたという調査結果であった。

「連邦による影響評価には限界があると考えました」と、GAOの天然資源・環境チームのディレクターで報告書の共著者であるフランク・ルスコ氏は言う。 「要するに、評価は、一度に複数のサイトに対するテクニックや組織的な攻撃など、考慮すべきさまざまなサイバー攻撃シナリオを常にカバーしているわけではありませんでした。評価の中には、役立つはずの地理的規模をカバーしていないものもありました。」

たとえば、評価では、送電網が損傷したがすぐに運転を再開できた暴風雨とは対照的に、長期間続いた広範囲にわたる停電の影響には対処していません。

さらに、米国エネルギー省 (DOE) が依存していた 3 つの評価のうち 1 つは、カナダ西部から南はメキシコのバハ カリフォルニア、東は米国のグレート プレーンズまで広がる西部連系線を対象としていましたが、1980 年の電力網の縮小モデルに基づいていました。

「何が起こり得るかという観点から何が可能かをモデル化していないだけでなく、現在のシステムと私たちがそれにどれだけ依存しているかについても見ていないとしたら…実際に何が可能なのかモデル化していないので、それを見逃すことになるでしょう。」とルスコ氏は言い、なぜ米国エネルギー省 (DOE) がその特定の評価に依存しているのかわからないと付け加えた。 DOE はこの記事に関するコメント要請に返答しなかった。

GAO の分析では、電力、天然ガス、石油の州間送電を規制する連邦エネルギー規制委員会 (FERC) が、必須のグリッド サイバーセキュリティ基準を承認しているものの、それらの基準が国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークに対応していることを保証していないことも判明しました。 GAO はまた、FERC が地理的に分散した標的に対する組織的なサイバー攻撃の潜在的なリスクを考慮していないことも強調しました。

「このような攻撃は、たとえば、地理的に分散したシステムの組み合わせが、標準セットに準拠するためのしきい値を下回る場合に標的となる可能性がある」と GAO は述べた。 「リソースが同じ地域に集中するのではなく地理的に分散している可能性があるため、このような攻撃への対応は、局地的なイベントよりも困難になる可能性があります。そのような攻撃のリスクに関する情報がなければ、FERC は、承認された強制遵守の基準値がそのリスクに適切に対応するという保証を持ちません。」

アクターとメソッド

そのICS 保護を専門とするセキュリティ会社 Dragos は、破壊的な攻撃は報告されていないにもかかわらず、「2019 年に ICS をターゲットとした活動の量が大幅に増加した」ことを発見しました。

この報告書では、世界中の ICS 組織を対象とした 11 の活動グループについて詳しく説明しており、特に米国およびアジア太平洋地域の重要インフラにおける ICS 組織に重点を置いています。

ドラゴス氏は、地政学的な緊張が高まるにつれ、重要インフラや産業団体を対象としたサイバーセキュリティ活動が増加する可能性が高いと評価した。 2019年夏に米国、サウジアラビア、イランの間で同様の戦術があったことが判明した。

Dragos 氏はまた、脅威アクターが重要なインフラストラクチャを破壊する能力を獲得するためにリソースを投資しているため、ICS に対する脅威はますます多数かつ洗練されていると分析しました。たとえば、活動グループ XENOTIME (シュナイダー エレクトリックの Triconex 安全計器システムを標的とした TRISIS マルウェアの背後にいた) は、米国およびアジア太平洋地域の電力会社に関連する情報とネットワーク リソースを収集しようとするパターンに関与しました。

「XENOTIME は、石油およびガス事業体に対して以前に展開されたのと同じ手法を使用して、調査活動を電力会社にまで拡大した」と報告書には記載されています。 「さらに、以前の Dragos レポートで明らかになったように、XENOTIME は OEM メーカーをターゲットにしており、場合によっては侵害に成功しており、産業サプライ チェーン全体に影響を与える可能性があります。」

報告書はまた、2019 年に産業企業でランサムウェアなどのマルウェア感染が増加したことも特定しました。

「マルウェアとランサムウェアのインシデントは主に企業ネットワークを標的としている」と報告書は述べています。 「しかし、Dragos 氏が何度も観察しているように、ネットワークのセグメント化が不十分であったり構成が間違っていたりすることによる OT 内の偶発的な感染、またはデータ、フリート、生産管理ソフトウェアなどの運用に必要な IT ソフトウェアやサービスを中断する感染は、運用に破壊的な影響を与える可能性があります。」

攻撃者は、新しく開発中の戦術に加えて、パスワード スプレーなどの一般的で人気のある戦術をターゲットの ICS にアクセスするために使用しています。これは、攻撃者が共通のパスワードを使用して多数のアカウントをターゲットにし、アクセス権を取得するために大規模な認証を試みる場合です。

「パスワード スプレーは、攻撃者が企業リソースにアクセスするために使用する比較的一般的な手法ですが、アカウント管理と外部リソースの認証ポリシーが不十分なため、組織は多くの場合、この種の攻撃に対して脆弱です。」と Dragos のレポートは述べています。

この報告書では、ICS エンティティを標的とするフィッシング キャンペーンを使用する脅威アクターの事例も特定されました。たとえば、攻撃者は LinkedIn のダイレクト メッセージングを使用して、「プロジェクトの提案」というルアーを送信しました。 「LinkedIn は電子メール セキュリティ フィルターをバイパスでき、攻撃者はユーザーのネットワーク接続を利用して正当な連絡先のように見せることができるため、攻撃者にとって有用なフィッシング ルートとなる可能性がある」と報告書は説明しています。 （参照）「接続のコスト」 セキュリティ管理、2019 年 2 月)

衝撃

GAO の厳しい評価の一部に応えて、米国政府と北米の規制当局は送電網のセキュリティを強化するための措置を講じました。

2020 年初頭、米国大統領ドナルド トランプは米国の大規模電力システムのセキュリティを強化するため。この命令の主な焦点は、システムの電気機器の海外供給を制限することであり、これはGAOによって特定されたサプライチェーンの脅威に部分的に対処する措置となる。

この命令に基づき、事業者は、その取引に外国または国民が利権を有する資産が関与し、米国の重要なインフラや米国経済の安全性や回復力に妨害行為や壊滅的な影響を与える不当なリスクを引き起こす大規模電力システム電気機器の購入または設置が禁止されています。

この命令はまた、米国の電力網への購入および設置について事前に適格な機器およびベンダーを認定するための基準を作成する権限を米国エネルギー長官に付与します。

GAO の報告書では、監査人は DOE が電力網に対する連邦サイバーセキュリティ戦略を実施する計画を策定し、電力網に対するサイバーセキュリティ リスクの完全な評価を含めるよう勧告しました。

DOEはこの勧告に同意し、GAO報告書に含まれる声明の中で、国家安全保障会議と協力して国家サイバー戦略実施計画を策定していると述べた。

North American Electric Reliability Corporation (NERC) も、過去 10 年間にわたって、すべてではないが一部の送電網事業者が準拠する一連のサイバー標準をリリースしました (CIP-002 から CIP-011)。 NERC は、米国、カナダ、メキシコのバハ カリフォルニア北部における信頼性基準の開発と施行、季節的および長期的な信頼性の評価、大規模電力システムの監視を行う国際規制当局です。 FERC とカナダ政府当局によって監督されています。

NERC のエンジニアリングおよび標準担当副社長である Howard Gugel 氏は、規制当局が事業者がリスクを判断し、リスクを軽減するための制御を適用できるよう、リスクベースのアプローチと評価手法を使用して一連のサイバー標準の開発を開始したと述べています。これにより、標準の最近のリビジョンとともに、いくつかの標準が作成されました。

以前の標準では、オペレータはすべての侵害をシステムに報告することのみを要求されていました。通信事業者に侵害の試みを報告する必要はなかったが、これは脅威の状況についての理解が不足していたことを意味すると Gugel 氏は述べています。

「これらの基準は何年も前から施行されているので、『いくつかのアテンプトを検討し始めましょう。ゴール内シュートをいくつか減らすことができるかもしれません』と言う時期が来たのです。」と彼は付け加えた。

2021 年 1 月 1 日に発効する更新された基準の下では、対象となる電力網運営者はすべてのサイバーセキュリティ インシデントを報告することが義務付けられます。 NERC は、インシデントを「重要なサイバー資産の電子セキュリティ境界または物理的セキュリティ境界を侵害する、または侵害しようとする試み、または重要なサイバー資産の運用を妨害する、または妨害しようとする悪意のある行為または不審なイベント」と定義しています。

SANS Institute のコンウェイ氏は、「インシデント」などの用語が定義され、サイバーセキュリティに対処する規制の範囲が定められることは、電気事業者コミュニティにとって利益になると述べています。

「以前は、資産所有者と運用者は、報告すべきインシデントとは何かを定義できました」と Conway 氏は説明します。 “If someone broke into a control center and disrupted the [system], that’s a cybersecurity incident. But if it didn’t cause any effect on power generation, dynamic response, any type of situational awareness, or control center functions, it wouldn’t have been reportable.”

オペレータは、標準に従って各インシデント対応計画を維持していることを示す文書など、インシデントに関して収集した証拠も提供する必要があります。その後、所有者は電力情報共有分析センター (E-ISAC) に事故を通知する必要があります。

米国を拠点とする通信事業者は、この情報を米国国家サイバーセキュリティ通信統合センター (NCCIC) に報告することがさらに義務付けられています。カナダに拠点を置く通信事業者には同様の要件はありません。

さらに、すべての対象オペレーターは、何か新しいことを知ってから 7 日以内に、インシデントに関する継続的な最新情報を提供する必要があります。また、インシデントの機能的影響がどのようなものであったか、たとえば、攻撃者が何を標的としていた可能性があるかなどについても詳細に説明する必要があります。

更新された基準に準拠しない場合の罰則はケースバイケースで決定されるとグーゲル氏は言います。

“We do an assessment of the situation with our compliance and enforcement folks, take into account the scenarios that occurred, mitigating effects put into place—that’s all evaluated,” he explains. 「罰則があると判断された場合は、それが策定され、提出されます。型にはまった自動的な罰金はありません。」

グーゲル氏は、電力網事業者に対して同様の基準を採用している規制当局を他に知らないと述べていますが、多くの国が実装したいもののモデルとして NERC の基準を使用しています。

「当社の基準は最低要件です。当社は企業が少なくともそれを行うことを期待しています」と Gugel 氏は言います。 「私たちの組織は他の管理を導入しています。これらは私たちが実行する必要があると主張しているものにすぎません。」

分析に基づいて、GAO は FERC に対し、NIST サイバーセキュリティ フレームワークにより完全に対応するために承認されたサイバーセキュリティ標準への変更を採用することを検討するよう勧告しました。

The GAO also recommended that FERC evaluate the potential risk of a coordinated cyberattack on geographically distributed targets and determine if it needed to change the threshold for mandatory compliance with its full set of cybersecurity standards.

FERC のニール・チャタジー会長は声明でこの勧告に応え、勧告は「建設的」であると考え、職員に勧告を実施するための適切な措置を講じるよう指示したと述べた。

ルスコによれば、FERCは現在セキュリティ管理者プレスタイム、NIST サイバーセキュリティ フレームワークをその標準に適用することと、組織的なサイバー攻撃の影響に関する研究を実施していました。しかし、これらの措置にもかかわらず、規制当局、政府機関、通信事業者は、電力網全体のサイバーセキュリティに引き続き注力する必要があります。

「あなたは最も弱い部分と同じくらい強いのです」とルスコは言います。 「すべてのものの相互接続がますます進んでいることを考えると、ハッキングに注意できるように、脆弱な機器を使用するすべての人を大規模に訓練する必要があります。あるいは、誰もがインターネットに接続され、他のものに接続されているより多くのデバイスを所有する、より広い範囲に拡張できるシステムを用意する必要があります。私たちは未知の領域に向かっています。」

ミーガン・ゲイツはセキュリティ管理部門の上級編集者です。 で彼女とつながりましょう[email protected]。 Twitter で彼女をフォローしてください:@mgngates。

システムの欠陥

専門家や研究者は、産業用制御システム (ICS) の一種である監視制御およびデータ収集 (SCADA) プログラムのセキュリティについて、過去数年にわたって懸念を表明しています。

2020 年夏、サイバー セキュリティ会社 Trustwave は、シュナイダー エレクトリックのプログラマー ロジック コントローラー (PLC) ソフトウェアとハードウェアをターゲットにするために使用される可能性のある 2 つのエクスプロイトに関する Seok Min Lim 氏による新しい脆弱性レポートを発表しました。 PLC は、SCADA プログラムおよび公益事業の運用テクノロジーで使用される柔軟なハードウェアです。エクスプロイトの 1 つは、最初に研究者が 2017 年に行った発見の拡張でしたが、もう 1 つは新しいものでした、とリム氏が所属する研究チームを監督する Trustwave の上級セキュリティ研究マネージャー、カール シグラー氏は述べています。

Trustwave のレポートによると、最初の脆弱性により、研究者は「エンジニアリング ソフトウェアと PLC の間でコントロール プレーン コマンドを傍受、操作、再送信」することができました。 「その影響は、悪意のある攻撃者が認証なしでリモートから PLC を起動および停止できることです。」

2 番目の脆弱性では、PLC をプログラムおよび制御するために Schneider が提供するフリー ソフトウェア SoMachine Basic が「PLC との通信に使用される重要な値の適切なチェック」を行っていないことが判明した、と Trustwave は述べています。 「この脆弱性を利用して、ソフトウェアが操作を認識することなく、操作されたパケットを PLC に送信できる可能性があります。」

Trustwave はこの脆弱性を Schneider に報告し、その後、Schneider はそれらに対するパッチをリリースしました。しかし、このエクスプロイトは、多くの電力網事業者が持つシステムや組織文化、運用文化に欠陥があるために、これらのプログラムやシステムがサイバー攻撃に対していかに脆弱になっているかを示しています。

「それは少し困難かもしれません。これらの組織の多くは、特に SCADA 領域では変化を嫌います」とシグラー氏は言います。 「パッチ適用に関しては、彼らは最も機敏であるわけではありません。彼らは通常、壊れていなければ修正しないというアプローチに従っています。彼らは非常に重要なシステムを扱っており、SCADA システムにパッチをインストールしてコンポーネントがクラッシュした場合、パッチで修正できるはずだった以上の損害を引き起こす可能性があります。」
また、Sigler 氏は、Trustwave の調査結果は、Stuxnet サイバー攻撃が公になってから過去 10 年間に報告された他の脆弱性と類似していると付け加え、ベンダーの対応は心強いものであると説明しました。なぜなら、これは、単にハッカーがエアギャップネットワーク経由でアクセスするのを防ぐだけではシステムを保護するのに十分ではないという考え方の変化を反映しているからです。

「私たちは過去にこのような脆弱性をたくさん見てきました」と彼は言います。 「これらすべてのベンダーは、内部的に安全な独自のソフトウェアを使用し、悪用を防ぐために外部制御に依存しない、より良いものにする必要があることにすぐに気づき始めていると思います。」