制御系ネットワークもサイバー攻撃の被害に
製造業によるDXへの取り組みが本格化する中で浮上したのが、制御系(OT)ネットワークのセキュリティ問題だ。安定稼働を重視するOTネットワークでは、安定性を阻害する要素を排除するという名目で、サポートが終了したOSでもあっても使い続け、セキュリティパッチの適用も行わないというのが常態化している。その状態でインターネットやITネットワークと接続すれば、脆弱な箇所を常時探索しているサイバー攻撃者の餌食になる可能性が高い。
特に昨今注目されるのが、サプライチェーン攻撃だ。杉浦氏は、同攻撃を2種類に分ける。1つは、サプライヤーやサプライヤーの仕入れ先および提携先が攻撃を受けるケース。もう1つは、ソフトウェアの構成コンポーネントや開発ツールなどが汚染されてソフトウェア自体がデータ窃取や攻撃ツールに変えられてしまうケースだ。1つ目については、米石油パイプライン大手Colonialが昨年サイバー攻撃を受けてパイプラインの操業停止に追い込まれるなど、実例が増えている。攻撃を受けた企業の被害にとどまらず、供給網全体に影響が及ぶのがサプライチェーン攻撃の特徴だ。
もちろん、企業側もこうした課題を認識し、取引先や下請け企業のセキュリティ対策状況を確認するサプライチェーンリスクマネジメント(SCRM)を取り入れているところも少なくない。ただし、杉浦氏はチェックリストにチェックを入れるだけで済ませていることも多いとした上で「やっているというパフォーマンスの側面が強く、実効性は微妙」と一刀両断。「もう少しセキュリティ対策について真剣に考えてほしい」と訴えた。
「たとえば、漏えいするのがデータではなく、毒物や劇物と想像してみてほしい」。そう述べた杉浦氏は、事例を2つ紹介した。
1つは、2021年9月に発覚したフロリダの水処理施設の事例だ。攻撃者は水処理施設に不正アクセスし、PCの1つにインストールされていたリモートデスクトップサービス「TeamViewer」を使ってOTネットワークにアクセス。水酸化ナトリウムの濃度を11,100ppmに設定変更した。幸いなことに担当者が異常に気付き、最悪の事態は回避できた。しかし後に、TeamViewerのパスワードが使い回されていたこと、すべてのPCが既にサポート終了したWindows 7を使っていたこと、PCのファイアウォール機能がオフのままインターネットに接続していたことなどが判明したという。
2つ目の事例は、イギリスの大手水道事業者だ。ランサムウェアグループ「Cl0p」は同事業者の制御系ネットワークに侵入し、データなどを窃取してファイルの暗号化などでシステムをロックしたのち、身代金を支払わなければデータをネット公開すると脅迫した。しかし同事業者から反応がなかったため、制御画面のキャプチャ含むデータを公開したという事件だ。実は後で攻撃者が脅迫すべき事業者を間違えていたことが判明したのだが、データは既に公開されたため、問題が発覚した。
杉浦氏は同事例のポイントは、制御画面のスクリーンショットが撮られている点だと述べる。「つまりは、攻撃者が制御系ネットワークに侵入成功しており、バルブやパイプなど各種制御機能を操作できる状態にあったということ。よく見るとソフトウェアキーボードも起動しているので、コマンド実行でさらなる侵害を試みることも可能だ」(杉浦氏)
Cl0p ransomware group has breached critical infrastructure in England responsible for the public water supply and waste management for London, Luton, Thames Valley, Surrey, and more.
— vx-underground (@vxunderground) August 16, 2022
They state they will not ransom it.
cl0p's official statement: https://t.co/YIvtEGCsmk pic.twitter.com/YtCgweuo7s
