英国の 100 万人以上に水を供給する会社である South Staffordshire PLC は、8 月にサイバー攻撃の標的になっていることを顧客に通知しました。
このインシデントは、重要な産業が今日直面している高度な脅威があることを示しています
South Staffordshire によると、情報漏えいがシステムに損害を与えたようには見えず、安全な水を供給する能力に影響はないとコメントしています。
この攻撃により、攻撃者が産業用制御システム (ICS) 環境にアクセスするリスクが明らかになりました。
報告によると、Cl0p ランサムウェアに関連するグループが攻撃を主張しました。
この攻撃は、組織のファイルを暗号化せずに、攻撃者が盗み出したデータのターゲットを強奪する、よくある恐喝モデルで攻撃を行いました。
攻撃の後、水処理プラントで使用されている監視制御およびデータ取得 (SCADA) システムのスクリーンショットとともに、機密文書が流出しました。
攻撃の詳細と South Staffordshire PLC のネットワークへのアクセスに使用された攻撃手法は限られているため、Microsoft Defender for IoT の研究チームは、同様の攻撃で攻撃者が使用する手法についてさらに調査を行いました。
Microsoft の研究者は以前、さまざまな業界でインターネットに公開された IoT デバイスに関連する活動を観察しており、OT ネットワークへの潜在的な足がかりとして使用される可能性があります。
脅威グループは、情報技術 (IT) デバイスにマルウェアを展開し、ネットワークの運用技術 (OT) 部分への境界を越えて高価値の運用資産を標的にするか、管理されていない、通常は安全性の低い IoT および OT デバイスを侵害することにより、アクセスを取得します。
重要なインフラストラクチャ ネットワークの IoT デバイス
IoT デバイスは組織に大きな価値を提供し、環境監視センサーを超えて、一般的なオフィス機器やネットワーク デバイスにまで及びます。
ただし、重要なインフラストラクチャ ネットワーク内の IoT デバイスは、適切に保護されていないと、運用資産やネットワークへの不正アクセスのリスクが高まります。
デフォルトの資格情報やパッチが適用されていない脆弱性などの不適切な構成は、ネットワークやデバイスへのアクセスを取得するために攻撃者によって悪用されることがよくあります。
アクセスが確立されると、攻撃者は同じネットワーク上の他の資産を特定し、偵察を行い、機密性の高い機器やデバイスに対する大規模な攻撃を計画する可能性があります。
重要なインフラストラクチャとユーティリティに対する脅威を監視するために、Microsoft の研究者は、ネットワーク内で IoT デバイスが公開されている英国の水道事業者を調査しました。
チームは、オープンソース インテリジェンス (OSINT) と Microsoft Defender 脅威インテリジェンス データを使用して、水道事業者のネットワークに統合された公開された IoT デバイスを検索し、そのような施設が家庭用の Draytek Vigor ルーターを使用していることを発見しました。
プリンター、カメラ、ルーター、ゲートウェイ デバイスなどのパッチを適用するのが難しいデバイスは、ネットワークへの潜在的な足がかりとして見過ごされており、多くの場合、露出したままになっています。
Microsoft の脅威インテリジェンスの分析において、Microsoft の研究者は、Draytek Vigor デバイスの既知のリモート コード実行の脆弱性 ( CVE-2020-8515 ) を悪用して Mirai ボットネットを展開する脅威グループを発見しました。
攻撃者がデバイス アクセスを確立すると、CVE-2020-8515 などのリモート コード実行の脆弱性により、攻撃者はデバイスで悪意のあるコマンドを実行したり、ネットワーク内を横方向に移動したり、SCADA などのインターネットに直接公開されていない他の脆弱なデバイスにアクセスしたりできるようになります。
水処理アプリケーションでは、SCADA システムにより、水処理プラントは特定の化学物質と毒素のレベルを監視し、システムの記録を収集できます。
South Staffordshire PLC に対する攻撃には、これらのデバイスの悪用は含まれていないように見えますが、OT システムに関連するファイルの公開は運用に対するリスクが高く、横方向の動きからデバイスとネットワークを保護するためのネットワーク セグメンテーションの重要性を浮き彫りにしています。
重要なネットワークの防御
ユーティリティ プロバイダーの OT ネットワークおよびデバイスに対する攻撃は、データの盗難から運用を制御するデバイスの操作に至るまで、リスクの高い攻撃イベントです。
このようなイベントは、システム中断につながる可能性があり、深刻なケースでは、業務に潜在的な損害を与える可能性があります (たとえば、2021 年 2 月に報告されたように、ハッカーがフロリダのある都市の水道システムへのアクセスを取得したケースなど)
これらの攻撃の重大性と、ユーティリティ プロバイダーの運用や顧客の安全にさえも影響を与える可能性があることを考えると、IoT および OT の管理されていないデバイスに関する適切なセキュリティ プラクティスの重要性を認識して、そのような攻撃が起こらないようにすることが重要になります。
OT ネットワーク用に設定された防御は包括的で、不正なシステム アクセスを防止できる必要があり、違反後の異常な、なじみのない、悪意のある動作の検出を含む必要があります。
資産を保護し、デバイスやデータにいつどのようにアクセスできるかについて厳格なセキュリティ プロトコルを導入することが重要です。ネットワーク内に IoT デバイスと OT デバイスの両方を使用する組織には、次の防御戦略をお勧めします。
- Microsoft Defender for IoTなどの包括的な IoT および OT セキュリティ ソリューションを採用して、すべての IoT および OT デバイスの可視化と監視、脅威の検出と対応、Microsoft Sentinel や Microsoft Defender 365 などの SIEM/SOAR および XDR プラットフォームとの統合を可能にします。
- 脆弱性評価を有効にして、組織のネットワーク内のパッチが適用されていないデバイスを特定し、 Microsoft Defender Vulnerability ManagementおよびMicrosoft Defender for EndpointとMicrosoft Defender for IoT アドオンを介して適切なパッチ プロセスを開始するためのワークフローを設定します。
- IoT デバイスや OT 制御システムへの不要なインターネット接続を排除することで、攻撃対象領域を減らします。ネットワーク セグメンテーションを適用してゼロ トラストプラクティスを実装し、侵入後に攻撃者が横方向に移動して資産を危険にさらすのを防ぎます。 IoT デバイスと OT ネットワークは、ファイアウォールを使用して IT および OT ネットワークから分離する必要があります。 Microsoft Defender External Attack Surface Managementを使用して、ファイアウォールを越えて脆弱性と露出制御を拡張します。 Microsoft Defender for Endpoint で攻撃面の削減規則を有効にして、ランサムウェア グループによって使用されるような一般的な攻撃手法を防ぎます。
- Azure Active Directory MFA などの多要素認証 (MFA) メソッドを適用することで、ネットワーク セキュリティを強化します。 ネットワーク保護を有効にして、アプリケーションやユーザーがインターネット上の悪意のあるドメインやその他の悪意のあるコンテンツにアクセスするのを防ぎます。
Comments