CISA(サイバーセキュリティ・インフラセキュリティ庁)、FBI、NSA、エネルギー省、そのほかの米国政府機関が共同で警告を発しました。インターネットに接続された自動タンクゲージ(ATG)システムを狙ったサイバー攻撃が増加しており、燃料や液体の貯蔵タンクを監視する重要インフラへの脅威が高まっています。
CISAによると、ATGシステムはエネルギー、化学、食品・農業、輸送システムなどの分野で広く使用されており、貯蔵タンクの液面、温度、漏洩を遠隔監視する用途に用いられています。
米国政府は、脅威アクターがインターネットに公開されたデバイスを標的にしており、コマンド実行を通じてシステム設定を改ざんしていると発表しました。
「各機関が確認した最近の悪意あるサイバー活動——米国政府はいまだ特定の国家や脅威アクターグループへの帰属を確定していない——は、サイバー脅威アクターがインターネットに公開されたATGシステムに侵入し、コマンド実行を通じてシステムを改ざんするものです」と勧告は述べています。
各機関によると、攻撃者は認証バイパスの脆弱性、ハードコードされた認証情報、OSのコマンド実行の欠陥、SQLインジェクションの脆弱性、権限昇格の弱点などを悪用してシステムへのアクセスを確立しています。
システムへの侵入に成功した場合、攻撃者はネットワーク設定、製品識別子、タンク容量、ポンプ制御などを改ざんできます。さらにアラートを無効化し、オペレーターがタンクの充填レベルを正常に監視できない状況を作り出すことで、漏洩や機器障害のリスクを高める恐れがあります。
各機関は、ATGシステムのインターネット接続を遮断すること、ファイアウォール・VPN・アクセス制御リストによるリモートアクセスの制限、デフォルトパスワードの変更、強力な認証情報と多要素認証の導入、セキュリティアップデートの適用、不正な変更を検知するための積極的な監視を組織に強く求めています。
イランのハッカーが類似活動に関与か
今回の勧告では特定の脅威アクターへの帰属は示されていませんが、イランのハッカーが複数の州のガソリンスタンドにおけるATGシステムへの一連の侵害に関与していたとするCNNの報道(5月)を受けたものです。
CNNによると、攻撃者はインターネットに接続され、脆弱または存在しないパスワードで保護されたATGシステムを悪用し、表示数値へのアクセスおよび改ざんを行いました。ただし、実際の燃料量そのものは変更されなかったとのことです。
一連のインシデントで物理的な損傷は確認されていませんでしたが、攻撃者が漏洩検知やその他の安全機能に干渉する可能性があるとして、懸念が高まっています。
CNNは、イランが最有力の容疑として浮上している理由として、燃料管理システムや産業用制御技術を標的にしてきた過去の経緯を挙げています。
一方でCNNは、捜査に詳しい複数の関係者の話として、攻撃に残されたフォレンジック証拠が限られているため、特定の攻撃者への帰属を確定できない可能性があると報じています。
CISAと各機関は、ATGシステムを運用する組織に対し、自組織の公開状況を速やかに確認し、侵害リスクを低減するための推奨される緩和策を直ちに実施するよう求めています。
検証のギャップ:自動ペネトレーションテストが答えられる問いは一つ。本当に必要な問いは六つある。
自動ペネトレーションテストツールは確かな価値を提供しますが、その設計目的は「攻撃者はネットワーク内を横断移動できるか」という一つの問いに答えることに限られています。セキュリティコントロールが脅威をブロックできるか、検知ルールが正しく機能するか、クラウド設定が堅牢かどうかをテストするためのものではありません。
本ガイドでは、実際に検証すべき6つのセキュリティ領域を解説します。
