Dragos, Inc. は毎年、その年間総括 (YIR)レポートは、産業用制御システム (ICS) と運用技術 (OT) に焦点を当てたサイバー脅威、脆弱性、評価、およびインシデント対応の洞察を分析したものです。このレポートは、ICS サイバーセキュリティ専門家からなる Dragos チームが実施する年間サービス活動と、Dragos Threat Intelligence チームの継続的な作業から収集されたデータに基づいています。これは、安全で信頼性の高い運用を提供するために進捗状況と必要な改善を示しています。

2020年、産業界は、世界的な新型コロナウイルス感染症（COVID-19）のパンデミックという極めて困難な状況下で文明を運営し続けるため、驚くべき偉業を成し遂げた。インフラ提供者は、世界的に多くの困難に直面する中、電力、工業製品、水、石油・ガス、鉱業、化学、鉄道、輸送などの主要なサービスと商品を利用可能な状態に保ちました。これらの取り組みの結果、組織はビジネスの運営方法を変更し、ますます接続された産業環境を組み込むようになりました。多くの組織が、自社の ICS ネットワークが高度にセグメント化されているか、エアギャップさえあると信じていたにもかかわらず、この傾向は長年にわたって存在していました。

アクティビティ グループが 36 パーセント増加

産業プロセスに影響を与えるランサムウェア、情報収集とプロセス情報の窃盗を可能にする侵入、ICS を標的とした敵対者の新たな活動によって、産業部門に対するサイバー リスクが劇的に増大し、加速しています。

2020年を通じて、2020年以前にドラゴスによって特定された11の活動グループは業界団体に対して活動を続けた。アン(AG) は、特徴またはプロセスの類似性によるさまざまな信頼度に関連する一連の侵入イベントです。 AG は、分析上の質問に答え、差し迫った脅威を超えた効果を達成する広範な緩和戦略を開発するために使用されます。 Dragos は 2020 年に 4 つの新しい AG を特定しました:

これらの新しいグループは、既知のグループ全体の 36% の増加に相当します。 2020 年のその他の主要な ICS 脅威トレンドには次のものがあります。

• フィッシング攻撃により引き続き ICS 侵入が可能
• ICS への直接のリモート アクセスが脅威に悪用されることがよくありました
• ICS を特にターゲットにしたランサムウェアの始まり
• ICS での可視性の制限によりサプライ チェーンの懸念が増幅

脆弱性は 29 パーセント増加

国立標準技術研究所 (NIST) によると、脆弱性とは、情報システム、システム セキュリティ手順、内部統制、または実装における脆弱性であり、脅威源によって悪用または引き起こされる可能性があります。

敵は脆弱性を悪用してコンピュータ システムに不正アクセスします。脆弱性が悪用されると、サイバー攻撃によって悪意のあるコードが実行され、マルウェアがインストールされ、機密データが盗まれ、操作が停止されたり、ICS の制御が乗っ取られたりする可能性があります。多くの脆弱性が ICS ソフトウェアに影響を及ぼし、ソフトウェアを使用する顧客はデータ侵害やサプライ チェーン攻撃のリスクが高まります。

ドラゴスの研究者は、2020 年に 703 件の ICS/OT 脆弱性を分析しました。これは 2019 年から 29% 増加し、産業運営をサポートするシステムにおける公知の欠陥が増加していることを示しています。専門家は、誤りや勧告に実用的なガイダンスが欠如しているため、これらの脆弱性の優先順位付けに苦労しています。これは、これらの脆弱性に対するパッチが発表されているかどうかに関係なく当てはまります。 2020 年に Dragos は、脆弱性勧告の 43% に不正確なデータが含まれていることを発見しました。

米国土安全保障省は、産業制御システムサイバー緊急対応チーム (ICS-CERT) を設立しました。 ICS-CERT は、さまざまなソフトウェア ベンダーによって公開されている共通脆弱性およびエクスポージャ (CVE) をリストしたアドバイザリを定期的に公開しています。

CVE は共通脆弱性スコアリング システム (CVSS) を使用してスコア付けされます。 CVSS は、コンピュータ システムのセキュリティ脆弱性の重大度を評価するための無料でオープンな業界標準です。 National Infrastructure Advisory Council (NIAC) は 2005 年 2 月に CVSS スコアリング システムを開始しました。その目標は、「ソフトウェアの脆弱性のオープンかつ世界標準の重大度評価を提供するように設計されている」

CVSS スコアは、悪用のしやすさと悪用の影響を概算するいくつかの指標に基づく式に基づいて CVE ごとに計算されます。スコアの範囲は 0 ～ 10 で、10 が最も深刻です。もともと CVSS は情報技術 (IT) システムを念頭に置いて設計されましたが、スコアリング システムは ICS 環境でも利用されています。

Dragos は、ICS-CERT からの勧告を含む ICS 関連の勧告をレビューし、実用的な情報を追加し、関連するポートとプロトコルの情報を追加したり、プロセスの制御やビューが影響を受けるかどうか、パッチに関係なく代替の緩和策が導入されているかどうかを判断します。 Dragos は、脆弱性とその悪用方法に基づいて修正された CVSS スコアも提供します。これにより、実務者は自身の環境に応じてこれらの CVE に優先順位を付け、最も深刻な問題に最初に集中できるようになります。

以下は、Dragos がいくつかの最近の CVE に対して提供する CVSS 修正の例です。 OSIsoft からのオリジナルのアドバイザリーを参照するには、下のリンクをクリックしてください。

• CVE-2020-10614
  • 4 =>4.8
  • AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:H => AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
• CVE-2019-11358
  • 5 =>6.1
  • AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N => AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
• CVE-2020-10643
  • 5 =>5.4
  • AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N => AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

上記の勧告は、2 つの異なる脆弱性を同じ CVE としてリストしているため、混乱を招くものでもありました。

ドラゴスは、下の図に示すように、Now、Never、Next のシナリオを使用して脆弱性を分析し、優先順位を付けます。2020 年に Dragos は次のことを発見しました。

• 「今すぐ」カテゴリに分類される脆弱性はわずか 7% であり、即時対応が必要です
• 脆弱性の 30% は次のカテゴリにありました。これは、悪用可能である可能性はあるものの、ネットワークの奥深くに存在し、攻撃者が OT プロセスを悪用したり影響を与えたりするには、より多くの作業、アクセス、および知識を必要とする、優先度の低い脅威を意味します。
• 残りの 63 パーセントは「決してしない」カテゴリに属しており、脅威の可能性がありますが、脆弱性の優先順位付けにおいてアクションが必要になることはほとんどありません。

YIR はまた、ICS システムに影響を与えるソフトウェア サプライ チェーンにおけるサードパーティの脆弱性をいくつか特定しました。最も注目に値したのは、ICS ベンダーのサードパーティ インターネット プロトコル (IP) スタックに存在する Ripple20 および Amnesia:33 の脆弱性でした。サードパーティ製スタックは、一部の産業支援製品や IT システムなど、多くの組み込み製品で使用されています。組み込み製品には、プログラマブル ロジック コントローラー、センサー、アクチュエーター、プロセッサーなどが含まれます。

ICS 環境で可視性の欠如が続く

Dragos のサービス顧客のほとんどは、ICS 環境を可視化できませんでした。ほとんどの顧客は資産インベントリの強化に重点を置いていますが、この取り組みは資産の可視性の基盤にすぎません。多くの顧客は、ICS ネットワーク内のアクティビティを監視せずに、IT と OT の境界のみを監視していました。 Dragos は、ICS ネットワークからの予期しない接続または未知の接続による不十分なセグメンテーションの事例を引き続き観察しています。

IT と OT を分離していない組織 ユーザー管理組織は、IT ネットワークと OT ネットワーク間で資格情報を頻繁に共有し続けています。IT ネットワークと OT ネットワークの両方で同じパスワードとログインを使用することや、両方のネットワーク上のコンピュータとソフトウェア間の直接接続など、資格情報を共有する最も一般的な理由は、時間の問題と、適切なプロトコルを理解または使用していないことが原因です。 

追加の調査結果を以下の図にまとめます。

ドラゴスが取り組んだすべてのインシデント対応ケースでは、攻撃者はインターネット経由で被害者の ICS ネットワークにアクセスし、共有の IT および OT 資格情報を使用してネットワーク内を横方向に移動しました。 Dragos の脅威データは、有効なアカウントと共有資格情報の悪用が、脅威活動グループがよく使用する手法であることを示しています。

ICS セキュリティを強化するための 5 つの推奨事項

ドラゴスは、ICS のセキュリティを強化するために、2021 年に改善すべき 5 つの主要な OT サイバーセキュリティ イニシアチブを推奨しています。

1. ネットワークの可視性を高めます。サービス契約の 90% に、可視性の欠如に関する調査結果が含まれていました。可視性には、ネットワークの監視、ホストのログ記録、コレクション管理フレームワーク (CMF) の維持が含まれます。
2. 王冠の宝石を特定して優先順位を付けます。ICS 環境へのルーティング可能な外部ネットワーク接続はすべてエアギャップされていると考えられていました。 Crown Jewel 分析により、重要な物理プロセスに影響を与えるデジタル攻撃経路が特定されました。
3. インシデント対応能力を強化します。顧客の 42% は適切なインシデント対応計画を持っておらず、75% はサイバー インシデントの申告に困難を抱えていました。
4. ネットワークのセグメンテーションを検証します。サービス契約の 88% に、IT ネットワークと OT ネットワーク間の弱いセグメンテーション、寛容なファイアウォール ルールセット、外部ルーティング可能なネットワーク接続などの問題を含む、不適切なネットワーク セグメンテーションに関する発見が含まれていました。
5. IT と OT の資格情報管理を分離。サービス契約の 54% に、共有資格情報に関する調査結果が含まれていました。これには、IT と OT 間で共有されるアカウント、デフォルト アカウント、ベンダー アカウントが含まれます。

クリック完全な Dragos をダウンロードするにはYIR報告。

ドラゴスの脅威インテリジェンス担当副社長であるセルジオ カルタジローネは、ハッカーを追跡し、文明を守ることに尽力しています。米国政府に 9 年間勤務し、マイクロソフトに 3 年間勤務し、Sergio は世界で最も高度な標的型脅威を追跡し、インテリジェンスを適用して数十億のユーザーを保護しながら、重要なインフラストラクチャと産業制御システムの保護を通じて文明を保護してきました。彼は侵入分析のダイヤモンド モデルを共同作成し、ハンターやアナリストを強化することで、他の何千もの人々が敵にさらなる苦痛をもたらすのを支援しました。カルタジローネは、非営利の非政府組織 (NGO) であるグローバル解放ネットワークのテクニカル ディレクターも務めており、データ サイエンスと分析を通じて人身売買を撲滅し、被害者を救出し、数千万人の命を救うことに専念する世界クラスの全員ボランティアのチームを率いています。