メジャーカジノサイト
ICS 2022 の振り返り: PIPEDREAM とランサムウェア攻撃の台頭
産業用サイバーセキュリティ会社ドラゴスの年次報告書によると、産業用制御システム (ICS) をターゲットとする脅威アクターは 2022 年に新たな境地を開拓し、ICS に影響を与える 7 番目のマルウェアを作成する能力を拡大し、製造、公益事業、エネルギー部門に対する攻撃を増加させています。
7 番目のマルウェア、名前はパイプドリーム、昨年出現した CHERNOVITE と呼ばれる新しい脅威アクター グループによって作成されました。そのツールキットは、産業プロトコルやさまざまなデバイスのネイティブ機能に影響を与える可能性がある初の再利用可能な業界横断的な機能であるため、ユニークです。つまり、51,000 以上の産業ベンダー システムに影響を与える可能性があります。
ドラゴスは、チェルノバイトは国家主体であり、パイプドリームは米国とヨーロッパの電力会社と天然ガス会社をターゲットに設立されたものであると確信を持って評価している。 Dragos は非公開のサードパーティと協力して、標的に対して使用される前にマルウェアを発見して分析しました。
“This is the closest we’ve ever had U.S. infrastructure go offline,” said Dragos CEO Robert M. Lee in a media briefing, emphasizing that CHERNOVITE is still active, working on the toolkit, and that Dragos expects to see it deployed in the future.
PIPEDREAM は、デジタル化の進展により、制御システム環境がより均一になったことを意味するため、業界全体の制御システム環境で「破壊的で破壊的な」可能性がある最初のマルウェアであるとリー氏は説明しました。
ランサムウェアの増加
Dragos は PIPEDREAM と同様に、増加する数のランサムウェア攻撃も追跡しました製造業。同社が追跡したランサムウェア攻撃の 70% はメーカーを標的としており、2021 年の 65% から増加しました。ある注目を集めた事件には、Conti 関連のランサムウェア2022 年 2 月、トヨタのプラスチック部品と電子部品のサプライヤーを狙った攻撃、
「この事件により、トヨタの工場は数日間操業を停止した」と報告書は説明し、事件中、ドラゴス社はコンティが管理するEmotet Tier 2ノードが他の世界的自動車メーカーのネットワークと記録され送信されているのを目撃したと付け加えた。 「ドラゴスは、北米と日本の多くの自動車関連組織が頻繁に連絡を取り合っているのを観察しました。エモテットC2 サーバー。 Emotet はマルウェアの一種であり、ランサムウェア イベントを誘発するサイバー犯罪活動です。」
ランサムウェアはエネルギー、農業、水道、鉱業、金属の分野にも影響を及ぼし、いくつかの異なる攻撃者グループによって実行されました。その一部は Conti が 2022 年 5 月に事業を停止した後に形成された可能性があります。Lockbit ランサムウェア グループ、しかし、業界組織とインフラストラクチャを標的とした最も多くのインシデントの原因となったものであり、全攻撃の 28% です。
「ドラゴスは、Lockbit 3.0 が引き続き業界組織をターゲットにし、Lockbit ギャング自体を通じて、または独自バージョンの Lockbit ランサムウェアを作成する他の者を通じて、2023 年まで産業運営に脅威をもたらすだろうと、ある程度の自信を持って評価している。」
2022 年に Dragos が追跡したランサムウェア インシデントの 40 パーセントは北米 (247 件) で、次いでヨーロッパ (32 パーセント、194 件) でした。アジア (18%、109 件);南米 (5%、28 件);中東 (3%、17 件)。アフリカとオーストラリア (1%、5 件)。
「業界組織に影響を与えるランサムウェア活動の増加には、政治的緊張、and the continued growth of ransomware-as-a-service (RaaS),” according to the report. “Dragos observed ransomware trends tied to political and economic events, such as the conflict between Russia and Ukraine and Iranian and Albanian political tensions.”
Ransomware will also continue to be a problem in 2023 as more new threat actors are likely to emerge in 2023 and target higher-value, industrial entities—such as vendors and suppliers because of their interconnectivity with customers downstream.
「これは主に、運用の重要性と多数の OT 環境への影響が原因であり、その結果、身代金の支払いがより高額またはより頻繁になることがよくあります。」と報告書は説明しています。
これらのランサムウェア事件に対応する際、リー氏はネットワークへの可視性の制限が依然として大きな課題であると述べた。たとえば、ドラゴス社がインシデントへの対応に協力したメーカーの 89% は、製造ライン ネットワークで何が起こっているのかについて「まったく洞察を持っていませんでした」だけでなく、情報技術 (IT) チームと運用技術 (OT) チームの間でアクセスと認証情報を共有していませんでした。
そしてそれは製造業者だけではありません。 2022 年に Dragos が協力した組織のうち、80% は OT 環境の可視性が非常に限られているか、まったくありませんでした (2021 年の 86% からわずかに減少しました)。また、50 パーセントにはセキュリティ境界が不十分で、53 パーセントには ICS 環境への外部接続があり、54 パーセントには IT と OT の個別のユーザー管理がありませんでした。
「我々はある意味で針を動かしているが、敵対者を考慮すると必要な速度や速度ではないと私は主張する」とリー氏は語った。
脆弱性は重要です
ドラゴスは、ランサムウェア攻撃の増加に加えて、産業制御部門に影響を与える脆弱性の数の増加も追跡しました。2,170 件の一般的な脆弱性とエクスポージャ (CVE) は、2021 年と比較して 27% 増加しました。
「中心となる指標の 1 つである代替緩和策を含む脆弱性は、24% と非常に低かった」とレポートには記載されています。 「脆弱性を軽減するための標準的な IT アプローチはパッチです。OT の世界ではパッチを適用するには、多くの場合、システムとプラントのシャットダウンが必要です。ICS/OT は、リスクの軽減と生産の維持の両方を行うために、代替の軽減策に依存しています。その軽減策が欠けている脆弱性の 76% により、運用の維持が非常に困難になっています。」
さらに、Lee 氏は、発見され ICS コミュニティと共有された脆弱性の多くが不適切なガイダンスを提供していると述べました。 2022 年に開示されたデータのうち 34% には、間違ったソフトウェア、ハードウェア、緩和策のアドバイスなど、誤ったデータが含まれていたと彼は述べました。
脆弱性の開示を常に視野に入れておくことも重要です。 Lee と彼のチームは次のようになります。脆弱性へのアプローチ方法を評価する際の、リスクベースの方法論 - Now、Next、Never。
- 今:運用上の影響があるか、敵対者によって積極的に標的にされていることが知られています。できるだけ早く対処してください。
- 次:ネットワークに悪用可能な脆弱性があり、運用上の直接的な影響はなく、措置を講じる前に評価が必要となる可能性があります。 ICS ネットワーク監視、適切なセグメンテーション、多要素認証などの緩和策を使用してください。
- 決して:脅威の可能性がありますが、行動が必要になることはほとんどありません。悪用の兆候がないか監視します。
このレンズを通して 2022 年の脆弱性を評価すると、68 パーセントが次のカテゴリに分類され、30 パーセントが決してないカテゴリに分類され、2 パーセントが今のカテゴリに分類されました。
明るい場所
ICS セキュリティの現状は困難に見えるかもしれませんが、2022 年の評価には明るい点がありました。それは、パイプラインのセキュリティを向上させるためのパフォーマンスベースの基準に焦点を当てた新しい規制です。米国運輸保安局 (TSA) は新しい規制を導入しました パイプライン コミュニティとのリスニング セッションの後、2 年ごとにサイバーセキュリティ アーキテクチャ設計レビュー (CADR) が必要になります。 TSA は、規制植民地時代のパイプラインをたどるランサムウェア事件。
「石油・ガス業界、少なくともパイプライン-2021-02Cの対象となる業界は、4つの重要な調査結果のうち3つでOT業界全体よりも高いスコアを獲得している」とドラゴス氏は、規制の対象となるパイプライン事業者の少なくとも20パーセントを対象にCADRを実施した際に発見した。 「外部接続に関しては、石油・ガス業界は OT 業界全体と連携しています。しかし、Pipeline-2021-02C の実装と外部接続の特定、制限、制御に重点を置いているため、ドラゴスはこれが 2023 年に改善されると期待しています。」
Lee added that their assumption is the regulations are having a “positive impact on oil and gas” because they are setting out goals that are attainable while allowing operators to be innovate on how to approach them.規制は「そうだ、警備に行くべきだというエアカバーを提供している」とリー氏は語った。
次のステップ
セクターに関係なく、次のようなものがあります実務者は、ICS/OT システムのセキュリティを強化するために実装できます。このコントロールは、SANS Institute のために Lee と Tim Conway によって作成され、次の対策で構成されています。
- ICS インシデント対応計画を立てる
- 防御可能なアーキテクチャを持つ
- 資産の可視化と監視機能を備えています
- 安全なリモート アクセス
- リスクベースの脆弱性管理を採用
The five controls “can be pursued in order and in concert with one another to create a robust ICS cybersecurity program that is tailored to the risks facing the organizations,” according to the SANS whitepaper. “These prioritized critical controls can help guide organizations seeking recommendations and guidance on what to do next based on threat-informed activities instead of over- or under-investing.”
詳細について、またはドラゴスのレポート全文を読むには、こちらの Web サイトをご覧ください:2021 年のレポートとの比較については、こちらをお読みください"ICS Intrusions の最新プレイヤーをご紹介します。"2020 年のレポートの分析については、以前の報道をご覧ください。セキュリティ技術に関する重要なインフラストラクチャの問題。
