ITファイアウォールの脆弱性が産業システムをサイバー攻撃にさらしてしまう仕掛けとは

近年、ファイアウォールの脆弱性を狙った攻撃の頻度と成功率は、驚くほど高くなっています。そこで本記事では、最新のITファイアウォールに対するゼロデイ攻撃の事例を解説します。更に、OT環境の独自のニーズに合わせた、次世代ネットワーク防御ソリューションについてもご紹介します。

はじめに

2024年に発生した注目すべきファイアウォールの脆弱性に関する事件は、5件連続でIvanti Connect Secureのゼロデイ脆弱性が公表されたことです。これらの脆弱性の一部は、影響を受けたデバイス上で不正なリモートコードを実行するために頻繁に悪用され、国家支援の攻撃者によって兵器化されることさえありました。Ivantiは攻撃者の一歩先を行くために警戒を怠らず、他の調査機関や当局と連携していましたが、パッチ適用や状況の軽減に向けたあらゆる対策に対して、新たな攻撃が仕掛けられました。同社は、透明性を保ち顧客のセキュリティを守るという精神で、当初情報を公開しましたが、それが裏目に出て、他の攻撃者に脆弱性を知らせることになり、彼らはすぐにこれらの脆弱性の悪用を開始しました。一時は、この状況を監視していた報告機関であるCISAでさえ、まさに彼らが一般に警告していた脆弱性を利用した攻撃を受けました。このペースの速い戦いでは、パッチを迅速に適用し、ビルドと製品をできるだけ早く更新することがどれほど重要であるかが明確になりました。

最新のファイアウォールは、設定可能なセキュリティルールを使用してデータを検査およびフィルタリングし、安全でないパケットが企業のネットワークに侵入することを防止することで、防御の最前線として機能します。さらに、ファイアウォールは、セキュアなリモートアクセスに不可欠な仮想プライベートネットワーク（VPN）サービスを備えています。VPNは、公共インフラ上に専用のネットワークを確立することにより、強力な認証と暗号化を実現し、通信データを保護します。

産業用制御システム（ICS）では、ファイアウォールはIT-OTセグメンテーションに不可欠ですが、リモートアクセスなどを通じて集中攻撃を受けるポイントになる可能性もあります。地理的に分散し、製造業やエネルギーインフラで使用されることが多いICSシステムは、VPNを利用してセキュアな通信を実現しています。たとえば、リモートサイトでも、VPNを備えた境界セキュリティツールを使用すれば、インターネットなどの信頼できないネットワークを介してメインのコントロールセンターへのセキュアなチャネルを構築できます。この環境を利用して、エンジニアや技術者は、離れた場所からこれらのシステムにセキュアにアクセスして、監視、メンテナンス、トラブルシューティングを行うことができます。

サイバー犯罪者はこれらの弱点（脆弱性）を悪用してネットワークに侵入し、重要なシステムを侵害します。最近、既知のファイアウォールOSの脆弱性が悪用されていることから、よりレジリエントで適応性の高いOTセキュリティ対策の必要性が高まっています。このような脆弱性を無視すると、産業施設、病院、学校、または政府行政機関に重大な損害がおよぶ可能性があります。そのため、企業は、ますます巧妙度が高まる脅威に対抗するために、多層的なセキュリティ手法を採り入れて、このような事態を未然に防がなければなりません。

最新のITファイアウォールとゼロデイ攻撃

ファイアウォールの普及により、現代のネットワークセキュリティの分野に一連の課題が生まれました。攻撃者は、コアネットワークにアクセスして重要なデータを盗むために、常に脆弱に見えることがあるこれらのデバイスを標的にすることを学びました。従来のITファイアウォールは、特にゼロデイ脅威に対して脆弱です。具体的な例として、次のようなものがあります。
 

ケーススタディ1：Ivanti Connect Secureにおける連続した脆弱性の広範な悪用

• 2024年1月10日、Ivanti Connect SecureとIvanti Policy Secure Gatewaysに、次の2つの新たな脆弱性があることをIvantiが公表しました。CVE-2023-46805：認証バイパスの脆弱性（CVSSスコア8.2）、CVE-2024-21887：重大なコマンドインジェクションの脆弱性。
• その後、同社は1月31日に、さらに2つの脆弱性を公表しました。CVE-2024-21888：権限昇格の脆弱性（深刻度：高）、CVE-2024-21893：Ivanti Connect SecureのSAMLコンポーネントに影響をおよぼすサーバー側のリクエスト偽造（深刻度：高）。後者は、CVE-2023-46805およびCVE-2024-21887の軽減措置を回避するために悪用される可能性がありました。
• 2月8日、Ivantiは5つめの脆弱性CVE-2024-22024を明らかにしました。これは、攻撃者が認証なしで特定の制限されたリソースにアクセスできるようになる重大な脆弱性です。概念実証（PoC）コードが公開されたことで、これらの脆弱性が積極的に悪用されるリスクが高まりました。これを受けて、米国サイバーセキュリティ社会基盤安全保障庁（CISA：Cybersecurity and Infrastructure Security Agency）は、接続を切断するよう緊急指令を出しました。これらのリスクに対処するため、Ivantiはパッチをリリースし、パッチをすぐに取得できないユーザーには暫定的なソリューションを実装するようアドバイスしました。さらに、同社の完全性チェックツールでスキャンを実行することで、潜在的なセキュリティ脅威を監視し、防止するのに役立つことを強くアナウンスしました。
• しかし、2月29日には、サイバー攻撃者がIvantiの内部および外部の完全性チェックツール（ICT）を回避する方法を発見したという共同サイバーセキュリティアドバイザリーが発表されました。この時点で、影響範囲は当初標的とされていた少数の企業をはるかに超えて拡大していました。迅速な対応と、これらのスパイ活動の疑いのある攻撃者に対抗するためのCISAからの即時の報告があったにもかかわらず、状況は急激に悪化しました。その時点で、Ivanti製品を使用しているデバイスはすでに侵害されており、それらを使用することで将来的にその導入企業に損害が発生する可能性がありました。
• 4月3日現在、Ivantiは、サポートされているすべてのバージョンのIvanti Connect SecureおよびIvanti Policy Secure製品のパッチをリリースしました。リリースの注意書きには、強化された外部ICTも含め、これらの脆弱性が世界で悪用された形跡はなく、他のIvanti製品やソリューションに影響をおよぼすことはないと記載されており、顧客にはひとまず安心する旨が伝えられました。とは言え、この件は依然として、現代の攻撃者の巧妙さを物語る、恐ろしい状況であることに変わりはありません。

ケーススタディ2：産業用制御機器におけるCVE-2024-3400の悪用

2024年4月19日、シーメンスは、Palo Alto Networks（PAN）の仮想次世代ファイアウォール（NGFW）と統合されたRuggedcom APE1808デバイスが、CVE-2024-3400として特定された重大な脆弱性の影響を受けることを発表しました。この脆弱性で、従来のITセキュリティ問題と重要インフラが関連していることがはっきりとわかります。CVE-2024-3400は、コマンドインジェクションの脆弱性であり、攻撃者は特定のHTTPリクエストを作成することで、デバイス上で任意のコードを実行できます。この悪用は、通常、デバイスの再起動プロセス中に発生し、サービスの中断につながります。さらに、この脆弱性により、攻撃者は管理者権限で、ASAおよびFTDソフトウェアにVPNクライアントとプラグインがプリロードされた古い機能を通じて任意のコマンドを実行できます。サイバーセキュリティ企業Volexityのレポートによると、この脆弱性は、メモリ内で実行可能なPythonバックドアなど、バックドアを展開するために積極的に悪用されており、攻撃者は感染したシステムを長期間制御できるようになっています。Palo Alto Networks（PAN）は、軽減措置やソリューションがすでに適用されている場合でも、デバイスを保護するために、PAN-OSの修正バージョンに直ちにアップグレードするよう顧客に緊急アドバイスを行っています。
 

ケーススタディ3：CVE-2024-20353とCVE-2024-20359の二重のゼロデイ攻撃がリモートアクセスのリスクを浮き彫りに

2024年4月24日、Cisco Talosは、ArcaneDoorと呼ばれる攻撃キャンペーンを明らかにしました。これは、国家が支援するハッキンググループUAT4356によって開始されたもので、Cisco Adaptive Security Appliance（ASA）ソフトウェアの2つのゼロデイ脆弱性を利用して、標的となる政府ネットワークにスパイ活動用のバックドアを仕掛けるものです。これらの攻撃は2023年7月に始まり、攻撃者は同年11月に攻撃インフラを確立し、12月から2024年1月にかけて活動をエスカレートさせました。CVE-2024-20353とCVE-2024-20359の脆弱性は、それぞれVPN管理インターフェースと任意のコードの実行を可能にするVPNプラグインにあります。これらの脆弱性は、メモリ常駐型のシェルコードインタープリタであるLine Dancerと、システムアップデート後も動作し続ける永続的なバックドアであるLine Runner、という2種類のバックドアを展開するために使用されました。これらのバックドアにより、ハッカーはシステム設定を変更し、ネットワークトラフィックを監視し、ネットワーク内を横方向に移動できます。カナダのサイバーセキュリティセンターは、他の国家安全保障機関と協力してこれらの攻撃を追跡し、Cisco ASAデバイスへの深刻な影響を確認しました。Ciscoはパッチを発行しましたが、同様の攻撃から保護するために、これらのパッチを積極的に適用し、セキュリティ対策を強化できるのはユーザー次第という状態です。

最新のサイバー攻撃者：産業界の企業への警鐘

インシデントが引き続き発生していることから、Mandiantのセキュリティ専門家や他のサイバーセキュリティ専門家によると、攻撃者はゼロデイ脆弱性を悪用しているだけでなく、ますます複雑で陰湿な攻撃方法を開発していることが明らかになっています。注目すべきなのは、今日の攻撃者が以下の様な革新的な技術を考案していることです。
 

1.軽減策の巧みな回避

Ivantiのインシデントで、悪意のある攻撃者が相手先ブランド製造会社（OEM）の軽減策を回避できることが判明しました。Mandiantの調査では、ハッカーがウェブシェルを展開して、2024年1月10日にIvantiが提供した初期の軽減策をうまく悪用し、回避したことが示されています。これで、複雑なネットワーク脅威の検知と対応における信頼性の低さが浮き彫りになり、OEMの軽減策があっても、企業は誤った安心感を抱かないようにするためには、より強固な検知メカニズムが必要であることがわかりました。
 

2.｢寄生型｣攻撃の展開

CISAが複数のインシデントで経験したように、攻撃者は特定のCVEを悪用して初期アクセスを行い、ウェブシェルを埋め込み、デバイスから認証情報を抜き取ります。その後、侵害されたデバイス上で利用可能なネイティブツール（freerdp、ssh、telnet、nmapなど）を使用して、ドメイン環境内でアクセスを拡大し、場合によってはドメイン全体を侵害します。
 

3.システムリセットに対抗するための永続的なバックドアの確立

新しい形態のマルウェアは、システムのアップグレード、パッチ適用、工場出荷時設定へのリセット後も永続的に活動しようとします。このことから、悪意のある攻撃者は、優先度の高い標的において永続性を維持する方法を幅広く研究していることがわかります。上記のケースでわかるように、重要な資産を効果的に保護するためには、最新のアップデートとパッチを適用しておくことが重要です。

TXOne Networksが提供するCPS（サイバーフィジカルシステム）セキュリティ保護ソリューション

そもそも、従来のファイアウォールベンダーはすでに軽減策を提供しているため、企業はOEMのガイドラインを採用して脆弱性に対処することができます。しかし、サイバー攻撃の頻度と複雑さが増す中で、OT環境は特に警戒が必要となります。リスク管理のためには、資産中心のCPSセキュリティアーキテクチャが優れたアプローチであると当社では考えており、特に、ICS/OT生産環境向けに設計されたネットワークおよびエンドポイント防御ソリューションを考慮する必要があります。企業で新しいICS/OTネットワーク防御ソリューションを検討している場合は、最も重大なリスクを軽減するICS/OT制御機能を備えたソリューションに注目してください。結局のところ、ICS/OTネットワーク防御ソリューションは、従来のIT環境で使用されるものと同じにはなりません。
 

1.OT中心の次世代ネットワーク防御ソリューション

従来のITファイアウォールの機能的限界と、保護されていないICS/OTネットワークが直面する無数の課題と脆弱性を考慮すると、企業は産業環境用にOT中心のセキュリティ設計を選択し、生産環境にさらに保護レイヤーを加える必要があります。当社が開発したEdgeシリーズのネットワーク防御ソリューションは、インテリジェントなセキュリティメカニズムと資産中心の機能を備え、OT環境の独自のニーズに合わせて調整されており、企業をさまざまな脅威から保護します。このシリーズの主な利点は以下のとおりです。

• ゼロデイ脆弱性に対する高度な脅威防御：EdgeIPS Proは、最新の脅威情報で未知の脅威に対する高度な防御を実現します。ゼロデイイニシアティブ（ZDI）の脆弱性報奨金制度の最先端の研究を活用して、EdgeIPS Proは、未公開のゼロデイ脅威からお客様のシステムを独占的に保護します。
• マルウェア侵入防止：EdgeIPS Proでは、仮想パッチがエンドポイントとネットワークの脆弱性を保護し、シグネチャベースのウイルス対策が保護の追加レイヤーとして機能します。研究に裏付けられた最新のシグネチャで、最新の脅威から生産環境の資産を保護でき、アップデートの頻度は柔軟で、管理者が完全に制御できます。
• OTネイティブ：EdgeIPS Proは、Modbus、Ethernet/IP、CIP、EDAなどのOTプロトコルに対応しているため、OTおよびITセキュリティシステム管理者は、連携して既存のネットワークアーキテクチャとのシームレスな運用が実現できます。
• OT対応の運用インテリジェンス：EdgeIPS ProのコアテクノロジーであるTXOne-Pass DPI for Industry（TXODI™）で、許可リストの作成と編集が可能になり、主要ノード間の相互運用性とL2-L7ネットワークトラフィックの詳細な分析が実現します。
• 究極の運用継続性：事業継続性は、事業の安定性を維持するために不可欠です。そのため、EdgeIPS Proデバイスは、接続されているスイッチにポート障害が発生した場合でも、代替ルートを作成できます。すべてのEdgeIPSデバイスには、パケットバイパス機能が搭載されており、あらゆる状況で安定した接続が実現できます。

あらゆるシステム運用変更の詳細な分析が可能なCPSDR

ICS/OTネットワークセキュリティの分野で、最悪のシナリオはファイアウォールが機能しなくなった場合です。そこで、エンドポイントセキュリティは、悪意のある活動を検知し、ネットワークの完全性を確保する上で重要な役割を果たすため、軽減手法の鍵となります。TXOne Networksでは、ゼロデイ攻撃を含む多くの種類のマルウェアが、従来のパターンマッチング検知機能を回避できることを確認しています。新世代のサイバーフィジカルシステム ディテクション&レスポンス（CPSDR）手法は、脅威の検知と対応の分野に革命的な変化をもたらすものです。CPSDRは、パフォーマンスに影響をおよぼすことなく、セキュリティ対策をデバイスの運用と連携させた運用中心のアプローチに対応しています。CPSDRでは、システムの異常が不安定になる前に高精度な予防アラートを発することができるため、正常な稼働状態からの逸脱を事前に効果的に検知し、抑制できます。CPSDRの採用により、攻撃であれ正常な処理変更であれ、システム運用におけるあらゆる変化が徹底的に分析・対処されるようになるため、リスクが大幅に軽減されます。この包括的なアプローチにより、ICS/OTの重要システムはさまざまなネットワーク脅威から確実に保護され、重要な業務の安全性と完全性が維持できます。

• CPS検知と対応（CPSDR）：アプリケーション、ネットワーク、システム、ユーザーログイン、デバイスデータカテゴリからのテレメトリを使用して、一意のデバイスフィンガープリントを作成するため、エージェントが安定性を監視し、脅威やオペレーターのエラーなど、あらゆる変更の原因を特定できるようになります。
• マルチメソッドによる脅威防御：人工知能（AI）と機械学習（ML）、および高速検知を組み合わせて、既知および未知の両マルウェアから保護し、可用性を低下させることなく、運用精度を最適化します。
• 運用設定のロックダウン：デバイスの設定をロックダウンし、オペレーターや悪意のある攻撃者によるレジストリや機能設定の不正な変更を防ぎます。

まとめ

OT環境の課題に対処するために、TXOneはサイバーフィジカルシステム（CPS）セキュリティ保護ソリューションを導入し、多層防御手法を簡素化し、強化します。主要なテクノロジーには、最小権限の原則に対応するOTに特化した侵入防御システム（IPS）であるTXOne NetworksのEdgeIPSがあります。このシステムは、OTの攻撃対象領域を最小限に抑え、ネットワーク攻撃を抑制し、OTネットワークを他の環境から分離し、運用パフォーマンスを向上させて、ヒューマンエラーの影響を軽減します。きめ細かなアクセス制御を行うことで、可用性とセキュリティのバランスを取り、重要なデータやシステムを保護することができます。

もう1つの革新的なテクノロジーは、OT環境専用に設計された次世代ウイルス対策ソリューションであるStellarです。これは、システム稼働環境内の異常な振る舞いを特定する、運用動作異常検知機能を備えています。高度なアルゴリズムと分析機能を活用して、Stellarは、予想されるパターンや挙動からの逸脱を、リアルタイムに効果的に検知します。この早期検知とタイムリーなアラートシステムで、疑わしい活動の迅速な調査と軽減がスムーズに進められ、全体的なセキュリティが向上します。

TXOne Networksの高度なテクノロジーとプロアクティブな防御メカニズムにより、新たな脅威から最も重要な資産を保護し、進化するサイバーリスクに直面しても運用上のレジリエンスを維持できます。まずは当社にお問い合わせください。

参考資料

• [1] CISA、｢ED 24-01: Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性の軽減（ED 24-01:Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities）｣、サイバーセキュリティ社会基盤安全保障庁（CISA）の緊急指令、 2024年1月19日。
• [2] CISA、｢最新：Ivanti Connect Secure および Policy Secure Gateway の悪用に対する防御のための新たなソフトウェア更新と軽減策（Updated:New Software Updates and Mitigations to Defend Against Exploitation of Ivanti Connect Secure and Policy Secure Gateways）｣、 サイバーセキュリティ社会基盤安全保障庁（CISA）のアラート、2024年2月15日。
• [3] Ivanti、｢Ivanti Connect SecureおよびIvanti Policy Secure主要製品Connect-SecureにおけるCVE-2024-22024 (XXE)（CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure Primary Product Connect-Secure）｣、Ivanti、2024年2月14日。
• [4] Ivanti、｢Ivanti Connect SecureおよびPolicy Secureのセキュリティ更新プログラム（Security Update for Ivanti Connect Secure and Policy Secure）｣、Ivanti、2024年4月3日。
• [5] Eduard Kovacs、｢シーメンスの産業用製品、Palo Altoファイアウォールの脆弱性悪用による影響を受ける（Siemens industrial product impacted by exploited Palo Alto firewall vulnerability）｣、SecurityWeek、2024年4月23日。
• [6] Siemens Security Advisory by Siemens ProductCERT、｢SSA-750274: Palo Alto Networks仮想NGFW搭載のRUGGEDCOM APE1808デバイスに対するCVE-2024-3400の影響（SSA-750274:Impact of CVE-2024-3400 on RUGGEDCOM APE1808 devices configured with Palo Alto Networks Virtual NGFW）｣、Siemens、2024年4月19日。
• [7] Volexity Threat Research、｢GlobalProtectにおける未認証のリモートコード実行のゼロデイ脆弱性（CVE-2024-3400）攻撃（Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400)）｣、Volexity、2024年4月12日。
• [8] Palo Alto Networks Security Advisories、｢CVE-2024-3400 PAN-OS: GlobalProtectにおける任意ファイル作成によるOSコマンドインジェクションの脆弱性（CVE-2024-3400 PAN-OS:Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect）｣、Palo Alto Networks、2024年4月12日。
• [9] Talos Intelligence、｢ArcaneDoor: 境界ネットワークデバイスを標的とした新たなスパイ活動キャンペーンを発見（ArcaneDoor: New espionage-focused campaign found targeting perimeter network devices）｣、Cisco Talos、2024年4月24日。
• [10] Canadian Centre for Cyber Security、｢Cisco ASA VPNに影響をおよぼすサイバー活動（Cyber activity impacting Cisco ASA VPNs）｣、カナダ政府、2024年4月24日。
• [11] Matt Lin, Robert Wallace, John Wolfram, Dimiter Andonov, Tyler Mclellan ｢最先端、パート2: Ivanti Connect Secure VPNのゼロデイ攻撃についての調査（Cutting Edge, Part 2:Investigating Ivanti Connect Secure VPN Zero-Day Exploitation）｣、Mandiant、2024年1月31日。
• [12] Matt Lin, Robert Wallace, Austin Larsen, Ryan Gandrud, Jacob Thompson, Ashley Pearson, Ashley Frazer, ｢最先端、パート3: Ivanti Connect Secure VPNの悪用および永続化試行についての調査（Cutting Edge, Part 3:Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts）｣、Mandiant、2024年2月27日。