自動タンクゲージシステムは、エネルギー・農業・輸送など多くの業種で広く使用されています。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)とFBIをはじめとする連邦当局は火曜日、ハッカーが自動タンクゲージシステムを標的にしているとして、複数の業種にまたがる脅威活動について警告を発しました。
各機関が公表したガイダンスによると、タンクゲージ(ATG)システムは温度の計測、燃料やその他の液体の液位確認、漏洩の検知などに使用されています。ハッカーはインターネットに接続されたデバイスを標的に、コマンド実行機能を悪用してアラートを無効化したり、監視機能を妨害したりしているとのことです。
当局は、タンクゲージシステムの脆弱性を悪用する複数の攻撃経路を挙げています。
- 認証バイパスおよびハードコードされた認証情報を悪用し、デバイス管理インターフェースへの不正アクセス
- OSコマンドインジェクションおよびSQLインジェクションによる任意コード実行とデータベース操作
- 権限昇格によるOSおよびデバイスアプリケーションへの完全な管理者権限の取得
連邦当局は、システムのインターネット接続の遮断、デフォルトパスワードの変更、セキュリティパッチの適用など、これらのシステムを保護するための対策を運用事業者に強く求めています。
イランとの関与も浮上
連邦当局は現時点で特定のグループへの帰属を明らかにしていませんが、CNNはこれに先立ち、米国内の複数の州でガソリンスタンドに使用されているATGシステムへのハッキングに関する調査を報じています。この脅威活動はイランに関連するハッカーとのつながりが疑われていますが、連邦当局はその関与を公式には認めていません。
OTセキュリティの専門家は、ハッカーがこれらのデバイスを操作できる範囲には限界があると指摘しています。
「悪意ある攻撃者はATGを制御して漏洩検知などの機能を妨害することはできますが、ATGを使って実際に漏洩を引き起こすことはできません」と、Nozomi NetworksのフィールドCISOであるMarkus Mueller氏は述べています。「同様に、タンクへの給油や車両への給油を妨害することは可能です。」
ガソリンスタンドのほかにも、これらのデバイスは農業機器向けの食品用燃料の監視や、バルク化学品の貯蔵管理にも広く活用されています。食品農業情報共有分析センター(Food and Agriculture ISAC)はそのように説明しています。
「ATGが侵害されると、収穫作業の妨害、誤った安全アラートの発報、食品グレードの貯蔵施設への干渉が生じ、食料供給の継続性に連鎖的な影響を及ぼす可能性があります」と、Ag-ISACの脅威インテリジェンス担当ディレクター、Jonathan Braley氏はCybersecurity Diveに語りました。
CISAとFBIはこれに先立ち、イランとの紛争に関連して米国の水道・エネルギー事業者を標的とした脅威活動についても警告を発していました。4月に発表されたその脅威アドバイザリーでは、一連の攻撃が業務面・財務面の両方に影響をもたらしていると指摘されています。
イランに関連する脅威グループは、2023年のガザ紛争以降、脆弱な水道事業者をはじめとする米国の産業システムへの攻撃を繰り返してきた実績があります。
今回の勧告を発表した機関には、環境保護庁(EPA)、エネルギー省(DOE)、国家安全保障局(NSA)、運輸省(DOT)、運輸保安局(TSA)、農務省(USDA)が含まれています。
