OT環境におけるHMIセキュリティの重要性
本記事では、HMI(ヒューマン・マシン・インターフェース)が持つ脆弱性を狙ったサイバー攻撃の手法と、脅威からHMIを保護するためのOTセキュリティソリューションについて解説します。
はじめに
HMI(ヒューマン・マシン・インターフェース)とは、広義には人間が機械とインターフェースで接続するあらゆるものを指し、技術の世界の至る所で見られます。OT環境では、オペレーターはさまざまなHMIを使用して産業用制御システムと対話し、運用システムを指示および監視します。そして、人間と機械が交わる場所には、常にセキュリティ上の問題が発生する可能性があります。
特にOT/ICS環境では、攻撃者が恐喝から妨害工作まで、あらゆる目的を達成するために悪用できるさまざまな脆弱性をHMIが抱えているため、HMIのサイバーセキュリティ計画において保護対策は、困難になることがあります。
HMIが使用されているOT環境の種類を考えてみましょう。水道や電力などの公共事業、製造施設、化学薬品生産、石油やガスのインフラ、スマートビルディング、病院などがそれです。これらの環境におけるHMIは、攻撃者に、経済的、物理的、またはその両方に損害をもたらすさまざまな攻撃ベクトルを与えることになります。
HMIとSCADAの関係
SCADA(監視制御およびデータ収集)システムは、データを収集・分析し、産業システムを制御するために使用されます。SCADAは、一般的に非常に複雑で高価な、誤用すると危険な産業機器、プロセス、施設の制御を監督するという役割を担っているため、攻撃者にとって非常に魅力的な標的となっています。
残念なことに、オペレーターがこれらのシステムとのインターフェースに使用するHMIには、SCADAシステムに対する攻撃の中で最も悪用されやすく、頻繁に侵害されるベクトルとなる多数の脆弱性が含まれています。
攻撃者がアクセスできるようになると、オペレーターからシステムを制御する機能を奪えます。そうなると、機械を誤動作させて修復不可能な損傷を与える、また、製品を汚染、情報を窃盗、さらに身代金の要求などを行う可能性があります。身代金の要求以外にも、生産停止、販売損失、機器交換、風評被害などのコストが企業にのしかかり、市場が品不足に陥る可能性もあります。また、攻撃で、機器が人命や安全を脅かすような動作をする可能性もあります。
攻撃に対して脆弱なICSの3種類のHMI
HMIのセキュリティでは、キーボード、タッチスクリーン、タブレットなどの、攻撃者が悪用できるさまざまな「脆弱性のオプション」、さらにより巧妙なインターフェースポイントを明確にしておく必要があります。その中でもより頻繁に攻撃されるのは、グラフィカル・ユーザー・インターフェース(GUI)と、モバイルアクセスおよびリモートアクセスです。
グラフィカル・ユーザー・インターフェース
攻撃者は、グラフィカル・ユーザー・インターフェース(GUI)を使用してシステムのアクセス権を完全に掌握し、意のままに操作することができます。多くの場合、GUIソフトウェアなどの多くのソフトウェアに存在する、設定ミスによるアクセス制御やバグ、その他の脆弱性を悪用することでアクセス権を取得します。システムがウェブまたはネットワークに接続されている場合、特にマルウェアの侵入が目的であれば、攻撃者の作業はより簡単になります。いったん侵入できてしまうと、攻撃者は横方向に移動して、相互接続されたシステムの探索や侵害を行い、攻撃を拡大させられます。
モバイルアクセスおよびリモートアクセス
新型コロナウイルス感染症(COVID-19)感染拡大以前から、モバイルおよびリモートアクセスの技術は、増加するOTネットワークの管理にすでに取り入れられていました。パンデミックが深刻化した際には、リモートアクセスが必要となる場合が多々ありました。しかし、この危機の収束後には、モバイルおよびリモートアクセスはさらに定着しました。
リモート・アクセス・ポイントは特に脆弱です。まず、リモート・アクセス・ソフトウェア自体に、パッチが適用されていない欠陥やバグ、設定ミスなど、セキュリティ上の脆弱性が含まれている可能性があります。攻撃者は、VPN(仮想プライベートネットワーク)やRDP(リモート・デスクトップ・プロトコル)に隙(すき)を見つけ、この穴を利用してセキュリティ対策をすり抜け、ミッションを実行します。
アクセス制御
攻撃者は、アクセス制御メカニズムを侵害して、正規ユーザーと同じ権限と特権を取得でき、アクセス権が取得できると、システム操作やデータアクセスに関しては、ほぼ何でもできるようになります。アクセス権は、旧式のVPN、盗まれたまたは購入した認証情報など、よく見られる方法を用いて入手できます。(盗まれた認証情報などは、オンライン市場で簡単に入手できます。)
最初の攻撃は、アクセス制御システムの穴を偵察するためのネットワークへの足がかりに過ぎないかもしれません。脆弱なパスワード、不必要なアクセス権、よくある設定ミスやソフトウェアの脆弱性があれば、攻撃者にとって十分です。さらに壁を突破すると、攻撃者は正規ユーザーができることを何でもできるように、権限レベルをエスカレーションできるようになります。
ICSのHMIサイバーセキュリティにおける攻撃手法について
コードインジェクション
攻撃者が悪意のあるコードをソフトウェアプログラムやシステムに挿入または注入することをコードインジェクションと呼び、攻撃者にコアシステム機能へのアクセスを許すことになります。その結果として、制御ソフトウェアが操作され、システムの変更によって有害な化学物質の放出、製法の変更、爆発、または大型重機の誤作動が発生した場合、シャットダウン、機器の損傷、危険な、さらには生命を脅かす状況につながる可能性があります。コードインジェクションは、データの破損、削除、または窃取を行う場合があり、状況によってはコンプライアンス違反や罰金につながることにもなります。
マルウェアウイルス感染
マルウェアは、HMIだけでなく、メーカーが提供するソフトウェアアップデートや製造現場に加えられた新品の物理的資産など、誰も予想もしないようなさまざまなアクセスポイントを通じてネットワークに侵入することができます。感染していることを知らずに、技術者がノートPCを接続したり、従業員がUSBメモリを差し込んだりしても、同様に侵入してしまいます。ITとOTの境界線が希薄になるにつれて、攻撃対象領域も広がります。攻撃者はいったんネットワークに侵入すれば、特権をエスカレートさせ、少し周囲を見回し、(行動する、盗み出す)価値のあるものを確認します。十分な情報が得られれば、悪意のあるコードを実行します。これには、ランサムウェアやスパイウェアが含まれます。他の攻撃と同様に、業務が妨害され、場合によって危険な状態に陥ることもあります。
データ改ざん
データ改ざんとは、簡単に言うと、産業システムの運用、制御、監視に使用されるデータを含むデータが不正に変更されることです。攻撃者は、システムソフトウェアまたはHMIデバイスの脆弱性、またはITとOT間の経路を通じてアクセスします。侵入できると、システムを探索して、より機密性の高い領域にアクセスできるようになり、そこで価値のある機密システムデータを盗み出し、オペレーションを妨害し、機器を損傷して、結果的に企業は事業利益や競争上の優位性を損なってしまうことがあります。
メモリ破損
メモリ破損は、どのようなコンピュータネットワークでも発生する可能性があり、必ずしも悪意のある行為を指すものではありません。しかし、メモリ破損はOTネットワークに対して展開できる攻撃手法としても使用されており、データが機械、プロセス、製法、およびその他の重要な機能を制御するため、大きな損害をおよぼすことがあります。攻撃者は、HMIや他のアクセスポイントでソフトウェアの脆弱性を見つけ出し、それを通じてアプリケーションやシステムのメモリに到達して破損させることができます。これにより、クラッシュ、データ漏洩、サービス拒否(DoS)、さらにはICSやSCADAシステムの乗っ取りまで発生します。
スピアフィッシング
スピアフィッシング攻撃は一般的にITネットワークに対して行われ、OTネットワークへの侵入経路を開くために用いられます。スピアフィッシングは、基本的に、より標的を絞ったフィッシング攻撃の一種であり、攻撃者は、たとえば、電子メールまたはWEBページを介して、正規の信頼できる送信元になりすまします。2014年、攻撃者はドイツの製鉄所を標的にして悪意のあるコードを含む疑いのある電子メールを送りつけました。その後、ビジネスネットワークへのアクセスを使用してSCADA/ICSネットワークに侵入し、PLC(プログラマブル・ロジック・コントローラ)を改変して溶鉱炉の操作を乗っ取りました。これで発生した物理的損害により、工場は操業停止を余儀なくされました。
DoS攻撃およびDDoS攻撃
サービス拒否(DoS)攻撃と分散型サービス拒否(DDoS)攻撃は、HMIポイントを過剰なトラフィックまたはリクエストで圧倒することで、HMIポイントが許可された制御および監視機能を処理できないようにします。2016年には、Industroyer(別名、Crashoveride)と呼ばれる特に悪質なマルウェアがウクライナの送電網に対する攻撃で展開され、キエフの大部分が停電しました。Industroyerは、特にICSやSCADAシステムを攻撃するために開発されたものです。この多角的な攻撃は、デジタル変電所リレーの脆弱性を悪用することから始まりました。攻撃を制御するタイマーは、4つの特定の通信プロトコルのいずれかを使用するネットワーク上のすべての保護リレーに対して分散型サービス拒否(DDoS)攻撃を仕掛けました。同時に、ワークステーションのハードドライブにあるMicroSCADA関連のファイルをすべて削除しました。リレーが機能しなくなったとき、街中の明かりが消えました。
リモートアクセスの悪用
COVID-19のパンデミック中およびその後に、HMIシステムへのリモートアクセスが増加したことにより、攻撃者は新たに利用可能な攻撃ベクトルを豊富に手に入れることになりました。リモートアクセスのセキュリティプロトコルはそれほど厳密ではないため、そこがICSに特化したマルウェアにとっては非常に魅力的です。たとえば、HAVEXマルウェアは、OTベンダーのウェブサイトからダウンロードしたリモートアクセストロイの木馬(RAT)を使用します。RATは、OT資産で一般的に使用されるポート上のデバイスをスキャンし、情報を収集して、攻撃者のコマンド&コントロール(C&C)サーバーに送り返すことができます。ある長期にわたる攻撃では、まさにそのような方法が用いられ、米国内外のエネルギーネットワークにリモートアクセスし、その間にデータ窃盗団が企業やICS関連のデータを収集し、「流出(窃盗)」させました。
認証情報の窃盗
不正な認証情報を入手することは、今日ではそれほど難しいことではなく、オンライン市場での取引が活発化しているため、これまで以上に簡単になっています。フィッシングやスピアフィッシング、マルウェア、脆弱な(類推されやすい)パスワード、暗号化されていない認証情報が保存されている場所へのアクセスを許可する脆弱性や設定ミスなどが、すべての根源です。認証情報を入手すると、攻撃者は多要素認証(MFA)などのセキュリティを突破し、偵察を行い、ミッションを完了するために必要なあらゆるレベルの権限を自分自身に付与させることができます。あるいは、ICSやSCADAシステムに対して最終的に行動を起こす前に、単に潜伏して観察し、できる限りのことを学習します。
ゼロデイ攻撃
ゼロデイ攻撃は、一般的に、以前に存在していたが未知の脆弱性に対して実行されるため、その名前が付けられています。ベンダーは、攻撃がすでに進行中であるため、それを修正する時間がゼロ日ということになります。ソフトウェア開発者またはサイバーセキュリティコミュニティのいずれにもまったく知られていない脆弱性は、OTネットワークとそのHMIを含むソフトウェアの世界全体に存在します。疑われることなく、そのためにパッチも適用されていないこれらの脆弱性は、動きの速い攻撃者に対して、抵抗することもなくゼロデイ攻撃を仕掛ける機会を与えてしまいます。2010年にイランの核開発計画に対して行われたスタックスネット攻撃では、Windowsのゼロデイ脆弱性が利用され、ネットワークにアクセスして拡散し、最終的に遠心分離機を破壊しました。そして、1000台の機械が物理的な損傷を受けました。
HMIセキュリティを強化するためのベストプラクティス
ネットワークセグメンテーションによる分離
ネットワークセグメンテーションは、産業用ネットワークを保護するための主要な防御策です。セグメンテーションを行うことで、侵入者に対して自然に抵抗力のある環境が構築できます。既述の多くの攻撃手法では、攻撃者がネットワーク内を水平移動する能力を獲得します。ネットワークをセグメント化することで、この水平移動(ラテラルムーブメント)を防ぎ、攻撃範囲と被害の可能性を抑えることができます。OTネットワークが世界と接続されるようになり、ITとOTの境界線が曖昧になり続ける中、ネットワークのセグメンテーションによって、HMIシステムをネットワークの他の部分や外部世界から分離することができます。また、OTネットワーク内の定義されたゾーンを互いに分離させ、攻撃を封じ込めることも可能です。
ソフトウェアとファームウェアのアップデート
ソフトウェアとファームウェアのアップデートは、あらゆるサイバーセキュリティ状況において推奨されていますが、OTネットワークにパッチやアップデートを適用することは、言うは易く行うは難しです。OTネットワークは継続的な運用を優先します。互換性の問題、パッチが適用できないレガシーシステム、その他にも障害はあります。その解決策が仮想パッチです。仮想パッチは、OTネットワーク内のすべての脆弱性を特定し、物理的なIPS(侵入防御システム)やファイアウォールなどのセキュリティメカニズムを適用することで実現されます。ルールの作成、トラフィックの検査やフィルタリングを行うことで、攻撃をブロックし、調査することができます。
サイバーセキュリティ意識向上のための従業員教育
従業員がネットワークの運用、脆弱性、サイバー攻撃の方法について知れば知るほど、ネットワーク保護に役立ちます。社内で必要なトレーニングを提供できるスタッフがいる企業はほとんどないため、サードパーティのトレーニングパートナーが有効なソリューションとなります。いずれしても、すべての従業員は、企業の書面によるポリシー、一般的な脅威の状況、セキュリティのベストプラクティス、USBメモリやノートPCなどの物理的な資産の取り扱い方法、攻撃の認識方法、および企業の対応プロトコルについてトレーニングを受けなければなりません。リモートワークの従業員には、別途特定のトレーニングを実施する必要があります。
進化するHMIセキュリティの脅威の状況
将来の脅威と対応について具体的な予測をするのは困難で、HMIセキュリティの脅威の状況は、セキュリティの状況全体とほぼ同じように進化する可能性が高いと言えますが、HMIセキュリティには1点大きな特徴があります。
エアギャップ環境の終焉
長らくの間、多くのOTネットワークは、物理的にもデジタル的にも外部から隔離され、汚染のリスクから隔てられたエアギャップ環境にありました。データやマルウェアの転送には物理的なメディアが必要でしたが、その不便さが安全性を生んでいました。OTネットワークがインターネット接続された世界と融合を続けるにつれ、そのような保護は過去のものになりつつあります。リモートワークが普及し、高度に接続されたIoT(モノのインターネット)が自動化された現場の至る所に存在するようになりました。無線アクセスポイントが機器からぶら下がったままになっていても、誰もそれを気にしません。侵入方法を探っている攻撃者を除いては。(この場合、基本的な従業員教育が役立つかもしれません。)
攻撃者はイノベーター
攻撃者はますます洗練されてきています。彼らは、HMIやその他のOTネットワークポイントに侵入するための革新的な方法を編み出すために、HMIを操作する人々よりもはるかに多くの時間を費やし思考を巡らしています。AIと機械学習の技術は、悪意を持った攻撃者をさらに強化しています。
特にITとOTネットワークが融合を続ける中、統計データがこのことを裏付けています。2023年のOT/ICSサイバーセキュリティ活動に関する調査では、76%の企業が統合ネットワークに移行しており、97%が『ITセキュリティインシデントがOT環境にも影響をおよぼした』と回答しています。ほぼ半数(47%)の企業がOT/ICSランサムウェア攻撃を受け、76%が国家支援の攻撃者に対して重大な懸念を抱いています。
しかし、プラス面としては、規制当局、保険会社、取締役会からの圧力により、多くの企業が現在行っているよりもはるかに積極的に、HMIポイントとネットワーク全体のサイバーセキュリティについて考え、行動するようになっています。調査によると、68%の企業が予算を増やし、38%が専任のOTセキュリティチームを有し、77%がOT/ICSセキュリティでレベル3の成熟度を達成しています。
TXOneが提供するすべてが揃ったOTセキュリティ
産業用環境のサイバーセキュリティは、ITネットワークにあるサイバーセキュリティとは大きく異なる課題を抱えています。TXOneはOTサイバーセキュリティに特化し、産業界の機器、環境、日常の業務スタイルに合わせて設計されたOTネイティブなソリューションを提供しています。
運用制御技術の保護については、是非TXOneのサイバーセキュリティ専門家にお問い合わせください。
