攻撃者がOT環境に侵入する方法――公開状態が生む攻撃の実態:なぜ今“現実世界”が攻撃されるのか――CPSが主戦場になった理由(2)(1/2 ページ)
本連載では、Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」をベースに、OTを直接狙うサイバー攻撃の現状と対策を連載形式で解説する。今回は、こうした攻撃がどのように実行されるのか、攻撃者の視点からその侵入手法とプロセスを詳しく見ていく。
前回は、CPS(サイバーフィジカルシステム)攻撃が増加している背景について説明した。保護が不十分なOT資産がインターネットに公開されるケースが増えたことから、高度な専門知識や専門的な技術を持たなくても攻撃が可能になった。これにより、攻撃主体は洗練された攻撃者グループに限られなくなった。そうした攻撃者たちが、インターネットに公開されたOT資産に攻撃を行っている。
この手法は、現在も継続しているIoT(モノのインターネット)マルウェアの感染活動によく似ている。
IoTマルウェアは、インターネットに露出しているIoT機器を「Shodan」などの検索ツールを利用して見つけ、それらにアクセスしてマルウェアに感染させる。対象となるIoT機器は、Webカメラやルーターだけでなく、HDDや家庭用光ディスクレコーダーなども該当する。IoTマルウェアに感染したIoT機器は攻撃者から操作され、DDoS攻撃などに悪用される。
近年のCPS攻撃も同様の手法といえるが、目的はDDoS攻撃ではなくOT環境への侵入である。Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」では、CPS攻撃におけるキルチェーン(サイバー攻撃の全プロセス)も分析しており、「標的の選定」から「犯行声明」までには次のような流れになっている。
ステップ1:標的の選定
攻撃者はまず、標的とするデバイスの種類を特定する。具体的には、PLC、HMI、SCADAシステムなどの特定のデバイスや、セキュリティ対策が不十分なレガシープロトコルが対象となる。その際に攻撃者は、VNCプロトコルやModbusなどのセキュリティ対策が不十分なサービスを公開しているデバイスクラスを検索する。
ステップ2:情報収集による対象の検索
ShodanやCensysといった、IPv4の全IPアドレス範囲を常時スキャンして公開されているサービスをマッピングするインターネットスキャンサービスを利用することで、攻撃者はインターネットに公開されているデバイスを探し出す。これらは正当な調査ツールであるが、Modbusのような設計上セキュリティが脆弱なプロトコルを公開しているデバイスを探すだけで、対象の選定が可能になる。
ステップ3:侵入の開始
検索により列挙された結果から、攻撃者は特定のターゲットを選定。ターゲットに対して侵入を試みる。この段階は、攻撃者が標的とする脅威ベクトルによって異なる。
例えば、デバイスがModbusポートを公開している場合、攻撃者はオープンソースのModbusクライアントを使用して、Modbusレジスタ・コイルとその値を列挙する。攻撃者がVNCを攻撃ベクトルとして利用する場合、その特定のデバイスに対するデフォルトの認証情報を検索するか、脆弱な認証情報を探すために認証サービスに対して総当たり攻撃を行う。
ステップ4:攻撃の実行
侵入に成功すると、攻撃者は最後の段階として機能の妨害や損害を与える。攻撃ベクトルによって異なるが、デバイスを動作不能にしたり、そのデバイスが制御する対象に物理的な影響を与えたりするようなパラメータ、値、または設定を変更することは共通している。
例えば、Modbusを利用する場合、攻撃者はレジスタやコイルを無意味なデータで上書きし、デバイスに物理的な損傷を与える。VNCを使用する場合、攻撃者は値やデバイスの設定を変更するための必要なアクセス権を取得し、同様に物理的な影響をもたらす。
ステップ5:犯行声明
攻撃者がデバイスに混乱をもたらし、設定やパラメータを変更してパフォーマンスに影響を与える際、通常は自身の操作を画面録画する。これは後日、政治的または社会的信頼性を獲得するために、ソーシャルメディアプラットフォームや非公開のチャネルでこの事件を共有し、攻撃の犯行を主張するために利用される。
これが最近のCPS攻撃におけるキルチェーンとなるが、Clarotyはデータの分析結果から、攻撃者は従来型の攻撃手法から移行しつつあると推測している。最近の手法では、「検知を回避」「被害者のネットワークに対する支配力を強化」「被害を最大化して攻撃の好機を待つ」といった傾向があり、特定の標的に対する周到な攻撃の代わりに、脅威アクターの戦術には180度の転換が見られるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.