サイバーセキュリティ・インフラセキュリティ庁(CISA)は、FBI、NSA、エネルギー省、EPA(環境保護庁)、TSA(運輸保安庁)、運輸省、農務省(USDA)と共同で、米国各地の自動タンクゲージ(ATG)システムを狙ったサイバー攻撃が続いているとして共同警告を発しました。
ATGシステムは、エネルギー、化学、食品・農業、運輸などの分野で広く利用されている重要なコンポーネントであり、燃料残量や温度の監視、漏洩検知など、貯蔵タンクの管理に欠かせない役割を担っています。
勧告によると、脅威アクターはインターネットに公開されたATGシステムを積極的にスキャンして侵害しているとのことです。
現時点では特定の国家や脅威グループへの帰属は確認されていませんが、観察された行動は、脆弱なセキュリティ制御と公開インターフェイスの意図的な悪用を示しています。システムへのアクセスに成功した攻撃者は、リモートでコマンドを実行し、システム設定を操作することが可能です。
各機関は、今回の侵害で使用されている一般的な攻撃手口をいくつか挙げています。具体的には、認証バイパス技術や、ハードコードされたデフォルト認証情報の悪用などが含まれており、これらを利用することで管理インターフェイスへの不正アクセスが可能になります。
CISAがGBhackersと共有したレポートによると、攻撃者はOSコマンド実行の脆弱性やSQLインジェクションの欠陥も悪用し、任意のコマンドを実行してバックエンドのデータベースを改ざんしているとしています。
より高度な攻撃では、権限昇格技術を駆使することで、アプリケーションおよび基盤となるオペレーティングシステムの両方に対して完全な管理者権限を取得します。
ATGシステムへの侵害が成功した場合、運用面および安全面で深刻な影響が生じる可能性があります。システムにアクセスした脅威アクターは、タンク容量、製品識別子、ポンプ制御などの重要なパラメータを変更することができます。こうした改ざんにより通常業務が混乱し、システムの誤作動につながる恐れもあります。
CISAによるサイバー攻撃への警告
例えば、タンクの液面読み取り値を改ざんすると「監視不能」の状態が生じ、オペレーターが燃料レベルを正確に把握できなくなるため、溢れや不足のリスクが高まります。
さらに、攻撃者がシステムのアラートやアラームを無効化した場合、組織が障害や危険な状態を検知する能力が大幅に損なわれます。これにより、検知されない漏洩による環境被害や、機器の誤作動に起因する物理的な危険性が高まります。
勧告では、こうしたサイバー侵害によって、攻撃者はシステムコンソールを実際に操作している者と同等の制御権を持つことになると強調しています。
多くのATGデバイスは8001、9001、10001などのデフォルトTCPポートを使用していますが、これらのポートが外部からアクセス可能な状態になっていてはなりません。組織はファイアウォール、アクセス制御リスト、または安全なVPN接続によってアクセスを制限する必要があります。
これらのリスクを軽減するため、勧告を発した各機関はATGオペレーターに対し、システムをインターネットに直接公開しないよう強く求めています。
認証情報のセキュリティも重要な課題です。オペレーターはデフォルトパスワードを直ちに変更し、すべてのインターフェイスに強力で固有の認証情報を設定することが求められます。可能であれば、フィッシング耐性のある多要素認証を導入し、アクセス保護をさらに強化することが推奨されます。
各機関はまた、認定サービスプロバイダーと連携して、最新のパッチ適用とセキュリティ設定の更新を徹底することも推奨しています。
不正アクセスの試み、不審な設定変更、異常なシステム動作を検知するためのログ記録と監査を有効にするなど、継続的なモニタリングも不可欠です。
最後に、組織はCISAの報告ポータルを通じて疑わしいインシデントを速やかに報告するとともに、サードパーティのサービスプロバイダーと協力して、確立された運用技術セキュリティのプラクティスを採用することが奨励されています。
この共同勧告は、産業用制御システムに対する脅威が増大していることを改めて浮き彫りにするとともに、重要インフラ環境全体でサイバーセキュリティ対策を強化する必要性を強く訴えるものとなっています。
翻訳元: https://gbhackers.com/cisa-warns-of-cyberattacks/
