出典:Yauhen Akulich / Getty Images
サイバー攻撃者が、米国内のインターネットに公開された自動タンクゲージ(ATG)システムを標的にしており、連邦当局はサイト管理者に対して迅速な対応を強く求めています。
ATGとは、工業施設が液体貯蔵タンクの監視に使用する電子式計器です。タンクには危険な化学物質や燃料など、さまざまな液体が貯蔵されています。より精巧な機械と比べると比較的シンプルな装置で、プローブが計測値を表示し、そのデータが広域の監視制御・データ取得(SCADA)システムへと送られることで、プラントのオペレーターが遠隔地から読み取り値を監視できる仕組みになっています。サイバーセキュリティの文脈ではあまり注目されないかもしれませんが、あらゆる工業施設において他の設備と同様に深刻なリスクをはらんでいると言えます。
今週、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)、エネルギー省(DoE)、環境保護庁(EPA)、運輸保安庁(TSA)、運輸省(DOT)、米国農務省(USDA)が共同通知を発表し、産業組織に対してATGのサイバー攻撃対策強化を呼びかけました。
各機関は米国内のATGシステムを標的とした「悪意あるサイバー活動を把握している」としながらも、特定の脅威グループへの帰属は明示していません。ただし今回の声明は、先月報告されたイランと緩やかに関連する脅威アクターによる全国各地のガソリンスタンドのATGへの攻撃を念頭に置いたものである可能性があります。
今回の通知では、脅威アクターがATGの脆弱性を悪用することで、タンクの計測値やポンプの制御、その他の設定を改ざんできる可能性が指摘されています。プラントのオペレーターが侵害に気づかないまま運用を続けた場合、特に安全上重要なシステムに関わる計測値であれば、深刻な事態を招きかねません。ATGは単なる計測にとどまらず、タンクの異常状態をオペレーターに通知するアラート機能も担っています。攻撃者がこうしたアラートを無効化すれば、危険な事故が発生するリスクが高まります。
燃料ゲージのリスク露出、米国に集中
米国政府がこの問題を発信する立場にあるのは当然と言えます。最近のイラン関連のキャンペーンを除いても、最新データによれば、脆弱性を抱えるATGの大多数は現在も米国内に存在しています。
共同通知を受けて、Shadowserver Foundationはインターネットに公開されているATGを広範囲にスキャンしました。発見されたデバイスの大半はハニーポットでしたが、それらを除外すると、保護が不十分なATGの圧倒的多数が単一の国に集中していることが判明しました。公開時点のShadowserverのスキャン結果では、米国内で909台のデバイスが発見可能な状態にありました。次いで露出件数が多かったのはカナダ(30台)、オーストラリア(22台)、そして英国とブラジルがそれぞれ4台でした。
Dark Readingはこの大きな格差の要因についてShadowserverに問い合わせましたが、本稿執筆時点では回答を得られていません。
米国が世界の脆弱なATGの90%以上を占めているとしても、900台という数字は以前と比べれば改善されています。10年前、Dark Readingは全米で約6,000台がインターネット上に公開されていたと報じていました。
ATGが抱えるレガシーなサイバーリスクと未パッチの脆弱性
他の産業機器と同様に、ATGはその設計上の特性から脆弱性を持ちやすい構造になっています。セキュリティよりも信頼性を重視して設計されているため、ダウンタイムなしに長期間にわたり現場で稼働し続けるケースが多く、その結果として老朽化・未パッチのままレガシースタック上で動作しているものが数多く存在します。また、セキュリティソフトウェアを実行できるほどの複雑な処理能力を持ち合わせてもいません。
こうした背景から、これらのデバイスが深刻な脆弱性を抱えていることは驚くべきことではありません。数年前、Bitsightの研究者が行った調査では、最も普及している6モデルにわたって7件のクリティカルなゼロデイ脆弱性が発見されました。その内容は、CVSSスコア10点満点のコマンドインジェクション脆弱性、複数の認証バイパスの問題、ハードコードされた認証情報など多岐にわたります。
イランの高度持続的脅威(APT)のような高度な脅威アクターや国家支援型の攻撃者がインターネット経由でATGに到達できれば、後続のサイバー攻撃やその他の目的に向けた有用な情報収集に悪用される恐れがあります。さらに深刻なリスクとして、攻撃者が産業オペレーターを重要なデータから切り離す可能性も挙げられます。特に安全上重要なシステムに関わるデータであれば、その影響は計り知れません。
ATG攻撃への組織的対応策
米国政府がオペレーターへの推奨事項として最初かつ最重要に挙げているのは、ATGをインターネットから切り離すことです。
Waterfall Security SolutionsでOTセキュリティ担当バイスプレジデントを務めるAndrew Ginter氏は、「かつては運用技術(OT)セキュリティプログラムを立ち上げる際の第一歩はセグメンテーション、つまりファイアウォールの導入だと考えていました。しかし最近、それは誤りだと指摘を受けました。本当の第一歩は、デバイスとヒューマンマシンインターフェース(HMI)をインターネットから切り離すことです。緊急措置として直ちに実施すべきです」と述べています。
やむを得ない理由でATGをインターネットに接続しなければならない場合は、「あらゆる手段で徹底的に堅牢化してください。自動アップデートの適用、長いパスワードの設定、すべての通信の暗号化。それも実施できないなら、設計そのものに根本的な問題があります」とGinter氏は付け加えました。
米国当局はほかにも、認証情報のセキュリティ強化、パッチの適用(常時稼働が求められダウンタイムを許容できない産業サイトでは容易ではないこともありますが)、そして不正なネットワークアクセスの厳密な監視を推奨しています。
より広い視点では、Ginter氏は「サイバーインフォームドエンジニアリング(CIE)の手法に基づくアナログや、ハッキング不能なデジタル対策を導入することで、最悪のシナリオを防ぐことができます」と指摘します。具体的には、危険なタンク状態を未然に防ぐ過圧リリースバルブやフロートバルブ、さらに最も脆弱な機器への悪意ある情報の到達を物理的に遮断する単方向ゲートウェイなどが挙げられます。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/exposed-fuel-tank-gauges-attack-us
