CISA、FBI、NSAを含む米国連邦機関の連合が、自動タンク計測(ATG)システムを標的とした現在進行中のサイバー攻撃に関する緊急の合同勧告を発表しました。
ATGシステムは重要な運用技術(OT)資産であり、燃料残量・温度・漏洩検知といった貯蔵タンクのパラメータを自動かつリモートで監視する役割を担っています。
脅威アクターは現在、エネルギー・化学・食品農業・輸送の各セクターにおいて、インターネットに露出したATGインフラを積極的に探索しています。
悪意ある活動は現時点では特定の国家や高度持続的脅威(APT)グループへの帰属が確認されていませんが、攻撃者はこれらのシステムへの侵害に成功し、任意のコマンドを実行しています。
連邦当局は重要インフラの運用事業者に対し、環境的または運用上の重大な被害を防ぐため、これらのデバイスを公衆インターネットから直ちに切り離すよう強く求めています。
サイバー犯罪者は複数の攻撃手法を駆使してATG環境に侵入し、内部データベースを改ざんしています。
脅威アクターはハードコードされた認証情報や認証バイパスの脆弱性を悪用し、デバイス管理インターフェースへの不正アクセスを繰り返し行っています。
初期アクセスを確立した後、攻撃者はOSコマンド実行やSQLインジェクション技術を展開し、権限を昇格してホストOSの完全な管理者権限を奪取します。
ルートまたは管理者権限を手にした脅威アクターは、施設に物理的にアクセスしているかのように、タンク管理コンソールを直接操作できる状態になります。
このリモートアクセスにより、ネットワーク設定の変更、製品識別子の操作、タンク容量データの悪意ある改ざんが可能となります。
こうした侵害がもたらす運用上の影響は、一般的なデータ窃取やITシステムのダウンタイムをはるかに超えるものです。
攻撃者は「視認不能状態(denial-of-view)」を意図的に引き起こし、施設の運用担当者がタンクの実際の充填レベルを把握できなくすることで、インフラに恒久的な物理的損傷を与える可能性があります。
さらに、脅威アクターは重要なシステムアラートや安全警報を手動でオフにすることも可能です。
こうした意図的な妨害行為は、運用担当者が物理的な障害を検知する能力を著しく低下させ、有害化学物質の漏洩やポンプリレーの故障といった環境災害のリスクを大幅に高めます。
ATGインフラのセキュリティ確保には、即時のネットワーク分離とアクセス制御の徹底した強化が必要です。
管理者は、すべてのATGシリアルポート、特にデフォルトのTCPポート8001、9001、10001についてインターネット上への公開を早急に遮断しなければなりません。
リモートアクセスが運用上どうしても必要な場合は、厳格なファイアウォール、アクセス制御リスト(ACL)、または安全な仮想プライベートネットワーク(VPN)を用いて接続を制限することが必須です。
施設はすべてのデフォルト管理者パスワードを直ちに変更し、すべてのWebインターフェースおよびシリアルインターフェースにフィッシング耐性のある多要素認証(MFA)を適用する必要があります。
積極的な監視とライフサイクル管理も、これらの特殊なOT環境を守るうえで同様に重要です。セキュリティチームは、攻撃対象領域を強化するために以下の技術的対策を実施してください。
認定ATGサービスプロバイダーと連携し、デバイスのファームウェアを更新してメーカーの最新セキュリティパッチを適用してください。
不正な接続・不審なアラート・タンクラベルへの予期しない変更を検知するため、包括的な監査ログを有効にしてください。また、タンク管理インターフェースを標的とする異常な管理トラフィックがないか、企業ネットワークおよびOTネットワークを継続的に監視してください。
セキュリティインシデントの疑いや不正アクセスを確認した場合は、直ちにCISAインシデント報告ポータルまたはFBIのインターネット犯罪苦情センター(IC3)へ報告してください。
マネージドサービスプロバイダーと協力し、運用技術へのサイバー脅威を低減するためのCISA公式緩和フレームワークを導入してください。
翻訳元: https://cyberpress.org/cyberattacks-target-tank-gauges/
