連邦政府への警告：米国のインフラが静かに攻撃されている

脅威アクターはますます巧妙になり、電力網などの運用技術（OT）環境を含む重要インフラを標的にしていると、ローレンス・リバモア国立研究所（LLNL）のプログラムリーダー、ネイト・グリーソン氏は火曜日の連邦公聴会で規制当局に語った。

「我々の敵対者は、我々の重要インフラを魅力的な標的と見なしています」と彼は米国国土安全保障省のサイバーセキュリティおよびインフラ保護小委員会で述べた。「これらの敵対者は非常に高い能力を持ち、我々のインフラシステムおよびそれに依存する機能を危険にさらすための能力開発に多大なリソースを投じています。」

CyberSentryプログラムによる反撃

セキュリティ小委員会は、2010年にイランの核計画を妨害するために設計されたデジタル兵器Stuxnetが登場してから15年の間に、重要インフラおよびOT環境に対する攻撃の進化について議論するために公聴会を開催した。

例えば、グリーソン氏は証言の中で、2022年に米国の連邦プログラムの一環として、カリフォルニアのLLNLの研究者が重要インフラシステムに密かに組み込まれたインターネット接続監視カメラを検出したと述べた。それらは、疑わしい敵対的アクターが運用する海外サーバーに情報を送信していた。LLNLは迅速に検出ツールを構築し、問題に対処するためのプレイブックを作成、サイバーセキュリティ・インフラセキュリティ庁（CISA）は問題を緩和するための広範な警告を発出した。

米国が反撃する方法の一つがCyberSentryプログラムであり、CISAと、システムの悪意ある活動の監視に自発的に協力する民間企業がパートナーとなっている。参加企業はエネルギー、交通、重要製造業、原子力産業など多岐にわたる。

このプログラムを通じて、LLNLは従来のツールでは検出できなかった「微妙な悪意あるビーコン行動」を検出する能力を開発した。Skyfallラボでは、グリーソン氏のチームがOT環境を構築し、各種のビーコン型マルウェアサンプルを展開して商用およびオープンソースツールをテスト。その後、より微細な脅威を検出できるよう感度を高め、誤検知を減らすために選択性を向上させた高度な解析手法を構築した。

この解析手法はCyberSentry環境に展開され、「ほぼ即座に」脅威アナリストが、参加企業のOTネットワーク上で中国メーカーDahua製やその他の国内外メーカー製カメラから発信される異常なビーコンを検出したとグリーソン氏は説明した。特にDahuaは、連邦通信委員会（FCC）によって国家安全保障上容認できないリスクと認定されている。

LLNLは、CyberSentry参加企業の大半がこれらのカメラをネットワーク上に設置しており、場合によっては数百台にのぼることを発見した。疑わしい海外サーバーとの通信に加え、リバースエンジニアは、これらのデバイスが接続されたネットワークへのバックドアアクセスを可能にする機能も特定した。

「これらのカメラの多くはOTネットワーク上に設置されており、インフラの物理的プロセスを制御するアクセス権を与えてしまう可能性がありました」とグリーソン氏は述べた。

彼のチームは、カメラの自動検出のための機械学習（ML）モデルを構築し、CyberSentry参加企業全体に展開した。連邦機関もこの発見を広く伝達し、ラボはCISAによって公開されたプレイブックを作成した。

「数十の重要インフラ資産所有者とCISAのパートナーシップから得られたセキュリティ上の成果は、米国の重要インフラ全体に広く波及しました」とグリーソン氏は述べた。

ITとOTは本質的に異なる

サイバーセキュリティ企業Dragos, Inc.のCEO兼共同創業者ロバート・M・リー氏も公聴会で発言し、企業や規制当局は情報技術（IT）とOTシステムの違いを「認識し、考慮しなければならない」と指摘した。

「ITとOTシステムは目的も運用も根本的に異なります」と彼は述べた。「一部の従来型IT制御はOT向けに適応されていますが、セキュリティの考え方は異なる必要があります。」

ITは企業の管理を支える一方、OTは水処理施設でのポンプや化学物質レベルの制御など、組織の中核となる物理的機能を実現する。これら2つの異なるミッションが、リスク評価と管理の方法を形作るべきだとリー氏は述べた。

「敵対者はITとOTシステムの類似した脆弱性を悪用するかもしれませんが、その結果や敵対者の行動は異なります」と彼は述べた。ITシステムの侵害はデータ窃取につながることが多いが、OTでは「物理的な混乱、設備損傷、さらには人命の喪失」につながる可能性がある。

それにもかかわらず、インフラ運用者はOTセキュリティへの投資が不足している。リー氏の経験によると、サイバー関連予算の約95％はITに、わずか5％がOTに割り当てられているという。OTはまた、システムが数年間連続稼働する必要があり、冗長性やミリ秒単位の高精度な応答性が求められるなど、独自の運用要件がある。

サイバーセキュリティの考え方は、OTの独自の物理環境、長期間のハードウェアライフサイクル、進化する脅威を考慮する必要があるとリー氏は述べた。これらは異なる実践、技術、政策対応を求める。「規制当局や政策立案者は、政策策定時にこれらの重要な違いを認識しなければなりません」と彼は述べた。

彼は警告した。「はっきりさせておきますが、この脅威の増大に対処するための猶予は短く、失敗した場合の結果は人命の喪失につながる可能性が高いのです。」

CISA 2015の重要性

10年前、米国議会は2015年サイバーセキュリティ情報共有法を可決し、政府と民間部門間でサイバー脅威インテリジェンスを共有することで、国内全体のサイバーセキュリティ向上を目指した。しかし、この法律の有効期間は有限であり、2025年9月30日に失効する予定である。

運用技術サイバーセキュリティ連合の事務局長タチアナ・ボルトン氏をはじめ、多くの専門家がこの法律の再認可を求めている。

「この法律は情報共有と米国の集団防衛強化に不可欠です」と彼女は本日の公聴会で述べた。

ボルトン氏によれば、特に重要インフラを守る民間部門のサイバーセキュリティチームは、防御力強化のために情報共有に依存しており、これらの通信チャネルは「国家的な脅威認識を支え、サイバーインシデントへの迅速な対応を可能にする上で極めて重要」だと述べた。

「もしこの法律によって確立された法的保護が失効すれば、この情報の流れは途絶えるでしょう」と彼女は警告した。