攻撃者がOT環境に侵入する方法――公開状態が生む攻撃の実態:なぜ今“現実世界”が攻撃されるのか――CPSが主戦場になった理由(2)(2/2 ページ)
本連載では、Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」をベースに、OTを直接狙うサイバー攻撃の現状と対策を連載形式で解説する。今回は、こうした攻撃がどのように実行されるのか、攻撃者の視点からその侵入手法とプロセスを詳しく見ていく。
攻撃者がVNCやModbus、デフォルト認証を狙う理由
攻撃者は、VNCプロトコルやModbusなどのセキュリティ対策が不十分なサービスを公開しているデバイスクラスを検索する。これらは特にOT環境やIoT機器において典型的な侵入口となるためだ。
VNCはリモートデスクトップ接続に使用されるが、セキュリティ対策が不十分な場合に遠隔操作による不正アクセスを許してしまうリスクがある。VNC通信が暗号化されていない場合、盗聴によりログイン情報が漏えいする可能性がある。また、画面共有機能により操作画面を不正にのぞき見られたり、勝手に操作されたりするリスクも存在する。
Modbusは工場やプラントのPLC通信で広く使われるプロトコルであるが、設計が古くセキュリティ機能を持たないため、しばしば侵入のために悪用される。特に、通信内容が平文(暗号化されない)なので、盗聴や改ざんが容易となる。また、認証機能がないため、攻撃者は任意のコマンド(コイル操作やレジスタ書き換え)を送信し、機械を不正に作動させたり停止させたりできるリスクがある。
デフォルト認証情報とは、初期設定のIDとパスワードのことを指す。これらを変更せずに運用すると外部からログインされてしまうリスクがある。攻撃者は攻撃ツールでデフォルト認証情報を持つ機器を自動的にスキャン/特定し、容易にログインして不正なアクセス権を取得することが可能になる。
この他にも、数は少ないもののHTTP経由で侵害されたWebサーバを利用したり、産業用デバイスと通信するセキュリティ対策が不十分なプロトコルを悪用したりして実行されたインシデントも確認されている。
また、エンジニアリングワークステーション(EWS)プログラムやネイティブ管理ソフトウェアなどの正規ソフトウェアを利用し、システムへのアクセス権を持つ攻撃者がデバイスに接続して再構成を行うインシデントも確認された。
攻撃者が使用する「ドライブバイ攻撃」とは
本連載で取り上げている、公開資産のスキャンと無差別アクセスによる攻撃のことを、Clarotyでは「ドライブバイ攻撃」と呼んでいる。この攻撃は標的型ではなく、脅威アクターは自らの政治的または社会的な目的を満たす国や地域で露出している資産にアクセスし、組織ではなく資産に対してほぼ無差別に攻撃を仕掛けている。
ドライブバイ攻撃が従来の攻撃と大きく異なる点は、攻撃者が用いる手法にある。ネットワークへの攻撃といえば、パッチが適用されていない1-day脆弱性、あるいは未発見の0-day脆弱性の悪用を含む、高度な攻撃が仕掛けられると考えられがちだ。しかし、Clarotyの調査ではその逆の傾向であったことが明らかになった。
ドライブバイ攻撃は脆弱性の悪用とは異なり、設計上またはデフォルトでセキュリティ対策が不十分な資産を攻撃することに依存しており、主にセキュリティ対策が不十分なプロトコルやデフォルトの認証情報を悪用する。
攻撃者が「セキュリティを考慮して設計されていないプロトコルを公開しているデバイス」あるいは「認証情報が脆弱であり、デフォルトのまま、または適切に設定されていないデバイス」を標的とすることで、攻撃者はそのデバイスに接続して、操作の制御や、機能の妨害を与えたりすることができる。
実際に、Clarotyが調査したインシデントでは、VNCやtelnetなどのリモートアクセスプロトコルを公開しているデバイスは、攻撃者に好んで標的とされている。その理由は単純で、組織はこれらのプロトコルをインターネット上で公開しているだけでなく、デフォルト設定のままにしておき、デフォルトの認証情報や既知の脆弱な認証情報で保護している場合が多いためだ。
これにより、OT資産のリモート制御や乗っ取りが可能となり、攻撃者は自身の目的を達成するために、資産の設定やパラメータをリモートで変更することができる。
さらに、Clarotyのレポートによると、攻撃者が使用したツールセットに共通点があった。攻撃者が使用したツールのほぼ全ては、無償のオープンソースソフトウェア(OSS)であり、VNCクライアント(攻撃者が使用した最も一般的なものはUltraVNCとTightVNC)、Metasploitやmodbus-cliといったオープンソースのソフトウェアツール、さらにはEWSやクライアントなど、ベンダーが自社デバイスの設定や制御のために提供するソフトウェアに至るまで、その全てが該当していた。
そして調査した攻撃の大部分は、HMIおよびSCADAシステムを標的としていた。多くのHMIパネルがVNCをサポートしていることから、攻撃者がVNCを標的としていることとも一致する。レポートによると、全攻撃の65%近くがHMIパネルまたはSCADAシステムを標的としていた。
一方、残りの標的には共通点が見られた。具体的には、セキュリティ対策が施されていないプロトコルが公開されているPLCや、デフォルト設定のまま、あるいは認証機能がないPLC、デフォルト設定のままのCCTVカメラなどのIoTデバイスなどであった。
まとめ
ここまで、OTを狙う最近の攻撃について、そのキルチェーンや想定される攻撃者像を解説してきた。
認識すべきことは、攻撃者が狙うのは脆弱性ではなく、「公開状態」と「設定不備」が侵入経路となっていることである。OT環境には、インターネット上から検知され攻撃されるリスクが多く存在しており、そのほとんどがこうした攻撃から保護されていない。
次回は、CPSを保護するための方法について解説する。
著者紹介
加藤俊介(かとう しゅんすけ)
Claroty Ltd.
APJ Sales シニア ソリューション エンジニア
国内大手化学メーカーにて計装機器・制御システム設計エンジニアとして3年、海外大手制御機器メーカーにて安全計装システムのエンジニアとして4年、国内外の産業システムにかかわるプロジェクトに従事。また2021年8月から産業サイバーセキュリティのプロジェクトも担当。2022年5月から現職。製造業、医療業界向けのサイバーセキュリティソリューション提案を担当。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
攻撃者の大衆化と広範化で、どのようなOT資産が狙われるのか
サイバー攻撃の標的はデータやITシステムから、工場やインフラといった現実世界の機能へと広がっている。その背景には、ITとOTの融合によって生まれた新たな接続性と、それに伴うリスクの拡大がある。本連載では、Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」をベースに、OTを直接狙うサイバー攻撃の現状と対策を連載形式で解説する。
その対策が脅威に……OTセキュリティで今起きている怖いこと
製造現場でサイバー攻撃の脅威が高まり、各種の関連製品、サービスが生まれている。その中で、新たな課題が見え隠れしているという。今回は、それらの課題を巡るOTセキュリティの専門家による対談をお送りする。
OTセキュリティを巡る3つの落とし穴〜Why OTセキュリティの共通認識と本質的How
本稿では、OTセキュリティにおける3つの落とし穴を通して、OTセキュリティのWhy(なぜ必要なのか)の共通認識と、勘所としてのHow(どのように進めるか)を解説します。
防御からレジリエンスへ〜製造業を襲うサイバーセキュリティ“格付け”の波
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第1回では、製造業を取り巻く環境の激変と、そこから生まれる新たな“選別”の波について解説します。
OTセキュリティ規制対応を「攻めの投資」へ変える方法とは
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。最終回となる第3回では、これまで述べてきた取り組みがいかにして企業の未来を創る「攻めの投資」となり得るのかを論じます。
攻撃を受けても止まらない工場へ、現場のサイバーレジリエンスをいかに築くか
アイティメディアが2026年1月に開催した「製造業セキュリティセミナー 2026 冬」では、ICS研究所 代表取締役社長の村上正志氏が基調講演に登壇し、産業用オートメーションおよび制御システムのセキュリティに関する国際規格IEC 62443に基づく工場のサイバーレジリエンス強化策などを紹介した。

