Dragos が今週発行した運用技術 (OT) サイバーセキュリティ年次報告書によると、世界的な緊張の高まりと金融機会の増加により、脅威アクターが産業環境を標的にするようになっています。

「さまざまな能力を備えたサイバー攻撃者は、ウクライナ・ロシア戦争やイスラエル・ハマス戦争を利用して、重要インフラに対する標的を絞った作戦を実行しており、より洗練されていないハクティビストも同様の紛争を利用してパニックを引き起こし、重要なサービスの回復力に対する国民の認識に悪影響を及ぼしている」と、 報告します。 「アジアやアフリカを含む世界中の地政学的な緊張も、情報収集と能力発揮活動を推進しています。」

ドラゴスと米国諜報機関が綿密に追跡している脅威グループの 1 つは、一般的に知られている Voltzite です。ボルト タイフーン。ドラゴスはこのグループを追跡しており、2021年以来グアム、米国、その他の国のいくつかの重要インフラ事業体を標的にしている。

「ヴォルツザイトは、複数の電力会社の長期にわたる偵察によって証明されているように、米国の電力および電気通信部門に引き続き関心を示している」とドラゴス氏は説明した。

ドラゴスのCEO兼共同創設者であるロブ・リー氏は記者団との会見で、ヴォルツザイト/ボルト・タイフーンは「Aレベルのチーム」とみなされる「非常に豊富なリソースを持つ国家主体」であり、洗練されており、インフラストラクチャをターゲットにし、その目的を達成することができると述べた。米国政府は、このグループが中国政府を拠点とするグループであるとみなしている。

米国政府は、今月初め、システムへの永続的なアクセスを維持するための陸地外での生活テクニックなど、ボルト タイフーンの戦術について説明しました。

「この勧告は、ボルト・タイフーンが被害者の一部のIT環境へのアクセスと足場を数年間にわたって維持していたことも確認しており、地政学的または軍事的紛争が発生した場合の潜在的な破壊的影響に備えて重要インフラ内に位置するための長期的で戦略的なアプローチを示している」と、モーガン・フランクリン・コンサルティングのマネージング・ディレクター兼公益事業、産業、および重要インフラ部門の責任者であるマイケル・ウェルチ氏は述べている。 「この長期的なアクセスは、攻撃能力開発への戦略的転換と相まって、ボルト・タイフーンが米国の重要インフラにもたらす脅威の深刻さと、影響を受けるセクター全体にわたる警戒の強化とサイバーセキュリティ対策の強化の必要性を強調している。」

リー氏は、彼のチームにとって懸念しているのは、Voltzite がインフラストラクチャをターゲットに能力を配備したことではなく、むしろグループが攻撃するために選択したターゲット、つまり米国のインフラに損害を与えたり機能不全に陥らせる戦略的拠点であると述べています。

たとえば、ドラゴスは最近、300 日をはるかに超えて Voltzite によって侵害された中堅電力顧客と協力しました。 「IT ネットワークに含まれている敵が、明らかに OT ネットワークに侵入しようとしていたことは明らかでした」と Lee 氏は付け加えました。

ドラゴスはクライアントと協力して、攻撃者が将来の破壊的攻撃に役立つ OT 固有のデータを盗んでいることを確認しました。その後、Dragos チームはクライアントと協力して敵をネットワークから排除し、同じアプローチを顧客ベース全体に拡大することができました。ドラゴス氏はまた、事件と米国政府への対応に関する情報も提供した。

「1 つの存在が顔にパンチを受けるのは非常に強力ですが、私たち全員ができるだけ早くそれについて学び、誰も 2 回殴られることはありません。」とリーは言います。

この事件は、米国政府がボルト・タイフーンに焦点を当てており、それが主要な電力施設を標的にしていることを証明した、とリー氏は付け加えた。 「最高の成果は、ディフェンスがどこで勝てるかを示している」とリーは言う。

ランサムウェアの増加

ドラゴスは、2023 年に業界団体に対するランサムウェア攻撃が 49.5% 増加し、905 件のインシデントが報告されたことを追跡しました。

報告された攻撃のほとんどは北米 (397 件、44%) で発生し、次にヨーロッパ (285 件、32%) で発生しました。アジア (119 件、13%);南米 (42 件、5%);中東 (27 件、3%);アフリカ (22 件、2%);およびオーストラリア (13 件、1%)。

攻撃者は特に製造業に興味を持ち、33 の固有のサブセクターの 638 社をターゲットにし、続いて ICS (115 件)、運輸業 (65 件)、石油とガス (30 件)、電気 (20 件)、鉱山 (13 件)、水道と再生可能エネルギー (10 件)、政府と防衛 (2 件) に対するランサムウェア攻撃が続きました。

「ランサムウェアオペレーターが被害者のネットワークに初期アクセスするための主な手段は、2023年も安定している。これには、初期アクセスブローカーとの連携、フィッシング、VPNやRDPサーバーなどの公的にアクセス可能なネットワーク資産の悪用などが含まれる。」と報告書は述べている。 「Dragos は、 を使用して Citrix などの一般公開サービスを悪用するランサムウェア キャンペーンも観察しました。

ランサムウェア攻撃者が被害者を悪用できる理由の 1 つは、標的となった組織が資産が公共のネットワークに直接接続されないようにする措置を講じている可能性があるためですが、これらの資産はファイアウォールなどの単一の防御層の背後にあるだけであるためです。

「これらのセキュリティ管理の有効性は大きく異なります。組織は単一の層で十分な保護ができると想定すべきではありません。」とレポートでは説明されています。

Lee 氏は、ランサムウェア攻撃者は通常、OT 環境を標的にしませんが、攻撃するとこれらの企業の収益を生み出す部門に影響を与え、多くの場合、より早く身代金を支払うことを学習していると述べています。

Lee 氏は、Dragos が確認しているすべてのランサムウェアの約 4 分の 1 が LockBit マルウェアであるとも付け加えました。これは英国と米国を意味しますLockBit の削除今週初めのウェブサイトは、業界組織に対するランサムウェア攻撃に大きな影響を与える可能性があります。

「ドラゴス氏は、2023 年に業界組織に対するランサムウェア事件全体の 25% が LockBit 作戦によるものだった、と指摘しています。これは、最近の法執行機関による組織閉鎖の重要性を物語っています。」と米国土安全保障省インフラ保護担当次官補のブライアン・ハレルは述べています。 「敵をボードから取り除くことができれば、それはいつでも勝利です。」

セキュリティ チームの新たな勝利

Dragos のレポートの肯定的な記述では、広範囲に影響が及ぶ前に深刻な脆弱性に対処するための産業界、OT セキュリティ コミュニティ、米国政府の 2023 年の協力について触れられています。

昨年、米国政府は、ロックウェル・オートメーション（全米の産業システムで使用される産業オートメーションおよびデジタル変革テクノロジーを提供する）に対し、同社の ControlLogix 通信モジュールのサブセットに影響を与える 2 つの脆弱性 (CVE-2023-3595 および CVE-2023-3596) を通知しました。

ロックウェルは政府と協力して、これらの脆弱性の検出を作成し、悪用の証拠を探すためにドラゴスを含む防御作業グループを設立しました。 Dragos のアナリストは、これらのシグネチャを構築して悪用の可能性を警告し、Dragos の既存の製品に導入することができました。その後、アナリストはその結果を作業グループの他のメンバーと共有したため、OT コミュニティの他のメンバーも同様の措置を講じ、敵が攻撃を開始する前に脆弱性に対処できるようになりました。

「これは、残されたブームの瞬間の一つの完璧なケーススタディです。」とリー氏は付け加えました。

注目すべきその他の新しいグループ

ドラゴスは、Voltzite に加えて、長期的な偵察と知的財産の窃盗を行っている他の 2 つの新しい脅威グループも強調しました:

• ガナナイト:中央アジア諸国と独立国家共同体の政府機関を標的としたほか、ヨーロッパの石油とガス、トルコとアゼルバイジャンの鉄道などで産業制御システム（ICS）運用の主要人物を攻撃。
  
  
• ローリオナイト:Oracle E-Business Suite iSupplier Web サービスを悪用した後に初めて特定されました。これは、米国の鉄鋼および繊維製造などの統合ビジネス プロセスで最もよく使用されているエンタープライズ ソリューションです。

「ドラゴスは、3 つの脅威グループすべてが、サイバーセキュリティ研究会社、政府および軍の防衛機関、鉄道、製造、自動車、公共事業を含むさまざまな組織に対して多様な作戦を実行していることを観察した」と報告書には記載されています。 「GANANITE と LAURIONITE は、初期アクセス作戦に対して日和見的なアプローチを示しました。しかし、VOLTZITE の作戦は、アジア太平洋地域と米国、特に電力部門におけるスパイ活動と偵察の目的を強く示しています。」

ハレル氏は、ドラゴス氏が中国との緊張の高まりと、その力関係が米国および世界中の重要インフラに対するサイバースパイ攻撃の増加にどのように寄与しているかを正しく指摘したと述べた。

「産業界は敵対者にとって簡単なサイバーフルーツを排除するという良い仕事をしてきたと思いますが、サードパーティは依然として重大な懸念を持っています」とハレル氏は付け加えた。 「まさにこれが、OT 向けにセキュア・バイ・デザインを採用し、経営幹部のテーブルでセキュリティが常に重要な席を占めていることを保証する必要がある理由です。」

これらの脆弱性勧告について

ドラゴスは、新たな脅威グループや攻撃手法に加えて、2023 年に一般的なハードウェアおよびソフトウェアの脆弱性および露出 (CVE) 勧告の増加も追跡し、2022 年の 465 件から 2023 年には 531 件に急増しました。

これらの勧告では、共通脆弱性スコアリング システム (CVSS) を使用して、どの脆弱性を軽減する必要があるか、およびそれらをどれくらい緊急に完了する必要があるかを指定しています。 CVSS が 9.0 以上の脆弱性は重大とみなされ、直ちに軽減することが推奨されます。しかし、レポートではこのアプローチの問題点が強調されています。

たとえば、研究者は一般向けに発行される勧告のコピーについて発言することができず、CVSS は OT ネットワーク アーキテクチャを考慮していないこと、また、パッチ適用以外に問題を軽減するための実際的な手順を持っていないことが多く、これは組織にとって困難または不可能な場合が多いです。

ロヤ・ゴードンヘキサゴンのアセット ライフサイクル インテリジェンス部門で OT サイバーセキュリティを担当するエグゼクティブ業界コンサルタントは、CVSS スコアのみを使用して脆弱性を修復するのが最良のアプローチではない可能性があることに同意しています。

「修復に真の優先順位を付けるには、データの機密性、接続性、重要度などに基づいて、OT 環境のどこに脆弱性があるかを理解することが重要です」とゴードン氏は付け加えます。 「たとえば、CVSS スコアが 9 の脆弱性が独立したシステムにある場合、リスクは指定された CVSS スコアよりも低い可能性があります。システムが OT ネットワークから切断されているか、機密データにアクセスできないというコンテキストを把握しておくことは、セキュリティ チームが脆弱性修復をより適切に管理し、優先順位を付けるのに役立ちます。」

ドラゴスはまた、2023 年の勧告の 31% に不正確な CVSS データが含まれていることも追跡しました。 Lee 氏は、これは米国コンピューター緊急事態対応チーム (CERT) と米国サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) が、ベンダーがいつ良い仕事をしているのか、いつうまく機能していないのかを認識する役割を果たすべき分野であると述べています。

これは「勝者と敗者」を選ぶという意味ではなく、「悪いとはこういうものであり、良いとはこういうものである…ということを率直に認めることだ。それができないなら、資産所有者や運営者は情報に基づいた選択をすることができない。」

セキュリティ担当者の次のステップ

脅威の状況は圧倒的に感じられるかもしれませんが、ボルト タイフーンの活動を含む悪意のある活動がシステムに影響を与え、混乱を最小限に抑えるためにセキュリティ担当者が実行できる手順はあります。

リーはドラゴスがの使用を推奨していると言っています「今、次、決して」の優先順位付けの方法論。

「この方法論は、防御者が直ちに軽減する必要がある脆弱性を優先し、それらを「今すぐ」カテゴリーに入れます。」と報告書は述べています。 「次のカテゴリの脆弱性は、ファイアウォール ルールと適切なネットワーク衛生によって軽減できます。この 2 番目のグループには、次のメンテナンス サイクルでパッチが適用される可能性がありますが、異常なネットワーク アクティビティや悪用がないか監視する必要があります。最後に、デバイス固有のリスクを増加させない脆弱性は、絶対にカテゴリに分類されます。」

ウェルチ氏は、クライアントとの仕事の中で、設計によるセキュリティの重要性を常に強調していると述べています。

ウェルチ氏は、所有している資産とその機能、さらに重要な機能を持つ資産と悪影響によってどのような結果が生じる可能性があるかを特定して理解することから始めることを提案しています。次に、攻撃対象領域や潜在的な損害を減らすために資産を設計する方法があるかどうかを判断します。

ドラゴスの提案と同様に、ウェルチ氏もネットワークをセグメント化し、防御を階層化し、継続的な監視を行うことを推奨しています。上流と下流の依存関係を理解する。また、サプライヤーがエコシステム内でどのような機能を果たしているか、またリモート アクセスがどのようにプロビジョニングされ安全に保たれているかを理解することも必要です。

最後に、ウェルチ氏は、オーナーとオペレーターはインシデント対応と復旧計画を策定し、その上でテーブルトップを実施し、同僚と協力して情報を共有していると付け加えました。

「2024 年、重要インフラの所有者と運用者はランサムウェアに引き続き細心の注意を払う必要があるが、人工知能と機械学習がサイバー攻撃でどのように利用されるか、サプライ チェーンの脆弱性、リモート アクセス、OT/IoT エコシステムがどのように成長し続けるかにも注意を払う必要がある。」とウェルチ氏は付け加えた。「サイバー攻撃が進化し続ける中、私たちはアイデンティティ、アクセス、ネットワークのセグメンテーションなどに関する戦略を強化し続ける必要がある」回復力。」

 

最も人気のある記事

1. 最新の倉庫を確保する方法

2. スクラップ処理: サプライチェーンの終わりがブランドと公共の安全のリスクになるとき

3. 離職率の高い環境における暴力リスクがリーダーシップと人事ガバナンスの問題である理由