近年、サプライチェーン攻撃の増加により、企業のサイバーセキュリティリスクが深刻化しています。各国はIoTやサイバーセキュリティ法を強化しており、企業は対策を急務としています。特に半導体業界では、SEMI E187規格がサイバー攻撃防止において重要な役割を果たしています。本記事では、LockBit攻撃を例に、半導体ファウンドリサプライヤがどのようにSEMI E187の導入を通じて防御を強化できるか、その重要性を解説します。
半導体業界におけるサイバーセキュリティの背景
2023年6月30日のCybernews社の報道によると、世界有数の半導体製造大手であるTSMCが、ダークウェブのブログ「LockBit」のリストに掲載され、ハッカー集団が盗んだデータに対して7000万ドルの身代金を要求しました。しかし、さらに調査を進めたところ、サイバーセキュリティインシデントが発生したのは実際にはTSMCのサプライヤであり、初期サーバー設定と構成に関わるデータが漏洩したことが明らかになりました。
これに対し、TSMCは、セキュリティ設定を含む同社に持ち込まれるすべてのハードウェアデバイスは、工場に入ってから同社の包括的な手順に従い、セキュリティ設定を含み、対応する調整を行わなければならないという姿勢を明確にしました。レビューを行った結果、TSMCは、このインシデントが同社の事業運営に影響をおよぼすことはなく、顧客データの流出もなかったことが確認できました。
このインシデント後、TSMCは、同社のサイバーセキュリティ契約および標準的な運用手順に従い、被害を受けたサプライヤとのデータ交換を直ちに停止しました。攻撃を受けたサプライヤは、ITおよびSIシステムのコンサルティングと統合サービスを提供している、台湾のKinmax Technology社であることが判明しています。
また、Kinmax Technology社も、同社の公式ウェブサイトでこのサイバーセキュリティインシデントを正式に認めています。
攻撃者:LockBit3.0とは
攻撃者であるLockBitは、2020年1月にロシアのサイバー犯罪フォーラムで初めてその存在が明らかになり、2021年6月までにLockBit RaaS 2.0を始動させました。2022年7月以降、LockBit 3.0(別名LockBit Black)は、世界で最も悪名高いランサムウェアの脅威の1つとなっています。世界中の業界がLockBit 3.0の影響を受けており、台湾の多くの半導体企業も身代金要求の被害に遭っています。ある調査によると、2022年以降、これらの攻撃者は、医療や教育などのさまざまな業界や重要インフラにまたがる世界中の500以上の組織を侵害したと主張しており、LockBit 3.0 BLACKの亜種は最も注視されているランサムウェア亜種となっています。
LockBit 3.0は、RaaS(Ransomware as a Service)プラットフォームを継続的に運営しているだけでなく、さまざまな技術、特に対策分析に焦点を当てた技術を通じて、暗号化機能を段階的に強化しています。EgregorやBlackCatと同様に、このランサムウェアは、元のテキスト部分を復号化するためにパスワードを必要とします。コードの類似性から、多くの研究者は、LockBit 3.0で使用されているほとんどの技術は、BlackMatter/Darksideに由来すると推測しています。2023年1月には、LockBit GREENとして知られるLockbitランサムウェア(Lockbit 3.0の別の亜種)が出現しました。研究者は、LockBit GREEN亜種のソースコードとContiランサムウェアで極めて類似性が多いことを発見しています。TXOne Networkの脅威調査チームはこのほど、LockBit 3.0の戦術、技術、手順(TTP)の詳細な分析を行いました。
ランサムハッカー集団LockBit3.0の脅威分析とその防止策とは
ランサムハッカー集団LockBit3.0の仕組みや特徴、防止策について解説します。LockBit3.0は2022年7月に出現して以来、世界中で最も悪名高いランサムウェアの脅威の 1 つになりました。
サプライチェーンにおけるサイバーセキュリティの重要性
2023年の過去6か月間で、サプライチェーン攻撃の数が大幅に増加し、Applied Materials、3CX、MOVEitなどの企業が関わる大きなサイバーセキュリティインシデントが発生しました。攻撃者は、企業、その機器サプライヤ、部品/材料サプライヤ、およびサードパーティのサービスプロバイダ間の複雑なネットワークを悪用しています。彼らは、デジタル・サプライ・チェーンの相互接続性を最大限に活用し、サプライチェーンの最も弱い部分を攻撃します。そのため、包括的な防御策を講じている企業であっても、サプライチェーン攻撃に対しては非常に脆弱と言えます。
さらに、サプライチェーンのリスク管理においては、デジタル製品のサイバーセキュリティが最も重要と言えます。多くの攻撃者は、企業を標的にする際にはサプライヤのソフトウェアシステムに的を絞っているため、サプライ・チェーン・リスクの管理ではサイバーセキュリティガバナンスにとどまらず、デジタル製品のサイバーセキュリティ保護も明らかに必要となります。このことから、米国の2020年のIoTサイバーセキュリティ法、EUのサイバーレジリエンス法、および英国のPSTI法が非常に重要であることがわかります。デジタル製品は、エンドユーザーが侵入されることがないように、デフォルトでセキュリティと脆弱性処理プロセスを重視しなければなりません。
特に半導体製造業界においては、実稼働環境にある装置がハッカーの主要な標的となっています。最近のサプライチェーンインシデントに関する当社の見立てでは、ハッカーは主に顧客情報、プロセス装置のデータ、知的財産権などの顧客機器データを標的にしています。サプライチェーンのインシデントが発生すれば、企業の市場競争力に深刻な影響がおよぶことは明らかです。
半導体サプライチェーンのセキュリティ強化:SEMI E187サイバーセキュリティ規格の実装
実際、半導体業界のサプライチェーンのセキュリティを強化するため、SEMIはサイバーセキュリティ規格の制定において業界を積極的に支援しています。SEMI E187などの規格は、開発、納品、設置、生産、保守など、資産のライフサイクル全体にわたる幅広いサイバーセキュリティ対策を網羅しています。この規格は、半導体メーカーにとって、生産ライン防御における重要な参考資料となります。以前、当社では、「半導体セキュリティ規格SEMI E187リファレンスガイド – 資産のセキュリティ・ライフ・サイクル」の中で、半導体サイバーセキュリティ規格を詳細に説明しました。また、TXOne Networksは、半導体業界に関連するベスト・プラクティス・ガイドラインの策定に継続的かつ積極的に参加しています。
1.装置の開発および設計段階
SEMI E187は、設計時だけでなく、運用および保守時にも半導体製造装置のセキュリティを確保するために、共通かつ最小限のサイバーセキュリティ要件を策定することを目的としています。この規格は、以下にあるように、ファブ装置の要件に的を絞っています。
- サポートが終了していないオペレーティングシステムを使用する。
- 将来の脆弱性に対処するためのセキュリティアップデートの実行方法に関するドキュメントを装置ベンダーが提供する。
- ネットワークの分離、セキュアなネットワークの設定方法、セキュアなネットワークプロトコルなど、デバイスのネットワーク接続におけるセキュリティ・バイ・デフォルトの構成に対応する。
- デバイスの完全性を維持するために、デバイスへのウイルス対策ソフトウェアのプリロードを許可する。
- デバイスが工場出荷される前に、悪意のあるソフトウェアのスキャンを実行する。
- デバイスが出荷される前に脆弱性スキャンを実行し、納品対象の製品に既知の悪用可能な脆弱性がないことを確認する。
- 認証およびID管理などのツールを使用して、不正アクセスを防止する。
- 最小権限の原則に従う。
- 適切なセキュリティ関連情報の記録または監視に対応する。
2.装置の工場への導入段階
資産をウエハー製造工場に搬入する前に、サプライヤの装置に対して悪意のあるソフトウェアや脆弱性スキャンを実施する必要があります。資産ごとに詳細な資産インベントリを作成し、装置に悪意のあるソフトウェアや高リスクの脆弱性がない、または不要なネットワークサービスが有効になっていないことを明確にしておく必要があります。実行すべきアクションは以下のとおりです。
- マルウェアのスキャンを徹底的に実行する。
- スキャンエンジンとウイルスデータベースが最新バージョンであることを確認する。
- テスト対象デバイスの基本情報を検証する。
- スキャンエンジンを設定して、すべての種類のファイルとシステムの記憶領域をスキャンする。
- スキャンエンジンが、機械装置内の各コンピュータデバイスとその記憶領域をチェックするようにする。
- スキャンの開始時刻と終了時刻を記録し、スキャン中に最新のウイルスコードが使用されるようにする。
- 未検知、駆除済み、または隔離済みの悪意のあるソフトウェアなどを含む、スキャンステータスと通知内容を明確に記録する。
- 脆弱性スキャンを実行して、高リスクの脆弱性がないことを確認する。
- オペレーティングシステムのチェックを実施して、古いバージョンや不要なソフトウェアがインストールされていないことを確認する。
- ネットワークサービスの強化を行い、有効にすべきではないサービスが実行されていないかどうかを確認する。
3.装置のセキュリティ設定の段階
この設定段階では、工場のオペレーション担当者が独自のセキュリティ設定を実装して、攻撃対象領域を縮小させます。この攻撃対象領域には、アプリケーション、ユーザー権限、ユーザーアカウント、ネットワークサービス、ネットワークポート、およびその他の不要なシステム機能が含まれ、攻撃者が重要なタスクを実行するコンピュータにアクセスする機会を減らします。この目標は、以下の例に限らず、さまざまな方法で達成できます。
- マルウェア対策によりシステムの耐性を強化する。
- 余分なサービスやソフトウェアをすべて削除する。
- リスクの高いネットワークプロトコルや不要なネットワークポートを無効にする。
- ユーザーの権限やアクセスを制御および制限する。
- 起動時にUSBポートを無効にする。
4.生産ラインで稼働するネットワーク保護の段階
工場の管理者は、ハッカーが悪用しようと躍起になっているネットワーク上のさまざまな脅威に対抗する備えをしなければなりません。ネットワーク分離の鍵は、資産の属性に基づいて必要な通信と不要な通信を定義し、企業のOTネットワークをより防御しやすいゾーンにセグメント化することです。たとえば、信頼できる産業用通信プロトコルに基づいて実行可能な命令を定義したり、特定のIPポリシーに基づいてどの資産が相互に通信できるかを決定します。これにより、工場ネットワークのネットワークアクセス制御が強化できて、より優れたパケット分析が行えるため、ハッカーにとっては情報収集や、工場ネットワーク間の移動がより困難になります。工場の管理者は、次のような方法を用いることで、次世代IPSおよびファイアウォールデバイスを通じて、動的なネットワーク分離を実現できます。
- 必要な正規ネットワークサービスのみを通過させる。
- 正規で、セキュア、またはユーザーが承認したファイル共有のみを通過させる。
- 不正な外部ネットワークアクセスの挙動を防止する。
- 許可されていないデバイスが工場のネットワークに接続するのを防止する。
- 適切な内部ネットワークのマイクロセグメンテーション、生産ラインの分離、および関連するサービスホストのセキュアなネットワークセグメントへの移動を実施する。
- 最新の産業脅威インテリジェンスと組み合わせた詳細なパケット検査技術に対応し、脅威のラテラルムーブメント(横方向の移動)を防止する。
- 詳細な脆弱性インテリジェンス、攻撃ベクトルレポートなど、資産リスク評価に対応する。
5.継続的なサイバーセキュリティ監視の段階
セキュリティ・イベント・ログは、装置の安全性確保に極めて重要です。その他のメリットに加え、デバッグ、セキュリティ脆弱性の回復、およびイベント調査に使用できます。さらに、セキュリティ・イベント・ログを保護し、アクセスは許可された個人に制限しなければなりません。セキュリティ・イベント・ログの物理的な保護は、メディアの保護、物理的な保護、および環境の保護を通じて対処します。この規格は、必要に応じて、資産およびネットワーク防御の保守と運用に従事する担当者がセキュリティ・イベント・ログを利用できるようにするものです。
- エンドポイントシステムとアプリケーションのセキュリティ・イベント・ログをデフォルトで有効にする。
- システム・イベント・ログについては、少なくともアクセス制御、構成変更、およびシステムエラーを含める。
- セキュリティ・イベント・ログは保護することが不可欠。
- セキュリティ・イベント・ログを集約する。
- OT EDRやOT IPSなど、セキュリティログを監視および確認するためのツールを用いる。
- セキュリティ・イベント・ログを機械読み取り可能な形式で定義する。
6.サイバーセキュリティの保守段階
資産が意図する生産環境に投入された瞬間から、資産の経年劣化と減価償却が始まり、定期的な保守が始まります。その際には、修理だけでなく、変化する工場の現場に合わせて資産を最新の状態に保つため、利用中のソフトウェアの設定変更、システムのアップグレード、およびセキュリティの更新も行います。場合によっては、企業のセキュリティポリシーへの準拠が必要な場合もあります。
- 装置のソフトウェアや設定が変更されるたびに、改めてスキャンを実行する。
- 資産の構成とセキュリティアップデートのステータスを確認する。
- 更新されていない、または更新できない資産については、既知の脆弱性悪用から防御するための仮想パッチなどの軽減策を講じる。
TXOne Networksがご支援できること
サイバーセキュリティの規格は策定されていますが、これは半導体業界のサイバーセキュリティを強化するための最初のステップに過ぎません。規格の原則を効果的に実装するには、サイバーセキュリティ規格を半導体サプライチェーンに迅速に導入するための適切なサイバーセキュリティソリューションが必要です。TXOneのソリューションを使用すれば、関連機器メーカーがSEMIサイバーセキュリティ規格に準拠し、装置のサイバーセキュリティ要件を満たせるようになります。一方、装置を使用する企業は、SEMIサイバーセキュリティ規格に基づいて、半導体製造ラインのゼロトラストサイバーセキュリティ保護フレームワークを実装する際にも使用できます。
- ・セキュリティ検査
- Portable Inspectorは、取外し可能なアプローチを採用しており、独立したコンピュータが物理的に隔離された状態で、効果的なマルウェアスキャンを行います。WindowsやLinuxデバイスのUSBポートに挿入して、不正なソフトウェアを検知、削除することが可能で、ソフトウェアのインストールや対象システムの再起動は必要ありません。さらに、Portable Inspectorは、資産情報を収集してインベントリリストを作成できるため、IT/OTの可視性が高まり、シャドーIT/OTを排除することができます。AES 256ハードウェア暗号化エンジンを使用して、データを保存する前にすべてのファイルをスキャンすることで、データがマルウェアに感染していない状態で、ストレージにセキュアに保存されます。
- ・エンドポイント保護
- Stellarは、長期にわたりエンドポイントセキュリティを実現するオールインワンのOTソリューションで、ICSアプリケーションと証明書のライブラリを使って最新化された資産を保護します。固定用途のシステムやレガシーシステムの場合、Stellarでは、それらのシステムの役割に関わるタスクのみを実行できるようにシステムをロックダウンします。StellarOneは、資産ライフサイクル全体を1画面でスムーズな管理が行えます。
- ・ネットワーク防御
- Edgeシリーズは、自動ルール学習技術を採用しており、ネットワーク許可リストの自動生成に役立ちます。また、業務上通信が必要な資産に厳密に基づいて、L2-L3ネットワークポリシーを厳密に作成・編集し、不審なアクティビティや潜在的に有害なアクティビティをすべて特定できます。また、このシリーズは、幅広い産業用プロトコルに対応し、ネットワークパケットを詳細に分析できるため、生産ラインのオペレーションに影響をおよぼすことなく、悪意のある挙動やエラーを効果的にブロックすることが可能です。パッチが適用されていない脆弱性があるために攻撃を受けやすいレガシーデバイスや生産システムを保護するために、Edgeシリーズでは業界をリードするシグネチャベースの仮想パッチ技術を採用しています。さらに、このシリーズは機器の設定や管理に必要な時間を最小限に抑え、既存のOT環境に容易に導入することができます。
まとめ
TXOne Networksのエキスパートは、半導体業界の主要企業と連携し、資産のライフサイクルのあらゆる段階にゼロトラストの原則を統合した包括的なソリューションを策定しました。セキュリティ検査、エンドポイント保護、ネットワーク防御といったソリューションを通じて、OT/ICS環境におけるレイヤー0からレイヤー3までのあらゆる潜在的な脅威のエントリーポイントを防御し、基幹となる生産・運用サービスを保護し、サービス中断を最小限に抑えることができます。同時に、SEMI E187のコンプライアンスを簡素化し、ITセキュリティでは対応できない課題を克服し、サイバー・サプライ・チェーンの脅威から半導体工場を保護するための強固な防御ネットワークを構築することができます。
