国家支援の脅威アクターたちは、水の調整・供給・保護を担うシステムへの攻撃を続けています。しかし、こうした攻撃における敵対勢力の目的は、一見するよりもはるかに複雑です。
これは脅威インテリジェンスプロバイダーのDomainToolsが6月25日に発表したリサーチに基づくものです。同レポートは2024年以降の国家による水道システムへの標的攻撃を調査したもので、サイバー敵対勢力がなぜ、どのようにしてインフラを狙っているのかを重点的に分析しています。
「サイバー攻撃」と「水道システム」の組み合わせは本質的に警戒を要するテーマです。地域の水供給を止めたり毒物を混入したりする「サイバー・パールハーバー」的なシナリオを想起させるからです。ただし、市民への直接的な被害を引き起こすことは通常これらの攻撃の主目的ではなく、2021年のフロリダ州オールズマーの浄水場への攻撃が示したように、現代の水道システムの多くは汚染された水が市民に届かないよう安全装置を備えています。もちろん、それが完全に不可能だということにはなりませんし、サイバー攻撃が人命に影響を与えうることも否定できません。
DomainToolsのレポートは、水道システムを含むすべての重要インフラへの国家主導の攻撃が引き続き行われていることを改めて示しています。例えば2025年には、ノルウェーの防諜機関トップが水門への攻撃はロシアによるものだと断言しました。この攻撃では、4時間にわたって毎秒400リットルの水が放出されました。
イラン・ロシア・中国の水道システム攻撃戦術
今回のリサーチは主に、イラン、ロシア、中国の3カ国に帰属する攻撃に焦点を当てています。
CyberAv3ngersなどIRGCに関連するイランの脅威アクターは、米国やイスラエルを含む各国でインターネットに露出したPLCや水道制御システムを悪用していることが確認されています。2020年には熱波の時期にイスラエルの水供給を妨害しようとした攻撃が未遂に終わったケースもありましたが、研究者たちはイランの標的設定を全体として「日和見的かつ宣伝目的的」なものと評しています。公衆の恐怖心をあおり、メディアの注目を集めることが主な動機だということです。
「国家および国家に連携したアクターは、水道・下水道インフラを戦略的な圧力点として扱っています。その価値は物理的な破壊よりも心理的・政治的なものが中心です」と研究者たちは述べています。「水は公衆衛生、市民の信頼、政府の能力に直結しているため、たとえ限定的なアクセスや短時間の障害でも、不釣り合いなほど大きな反応を引き起こす可能性があります。」
各組織は、イランのAPTをインターネットに接続されている小規模な公益事業者にとっての高リスク要因と捉え、成熟したセグメント化されたOT環境に対しては中程度のリスクとして評価すべきです。
DomainToolsによれば、ロシアに関連するアクターはイランと比べて水道制御システムへの直接的な操作に積極的です。研究者たちは2024年1月にテキサス州ミュールシューで発生した攻撃を例として挙げています。この事件では、国家支援の攻撃者が「遠隔産業インターフェースにアクセスし、市の水タンクを約30〜45分間オーバーフローさせた」とされています。
「Cyber Army of Russia Rebornが犯行声明を出し、MandiantはこのグループをSandworm――ロシアのGRUに関連する破壊的サイバー部隊――と結び付けました」と研究者たちは述べています。全体として「ロシア関連の活動はイランよりも破壊工作志向が強いです。このパターンはモスクワの広域ハイブリッド作戦に合致しており、低コストで破壊的なアクセス確保、公衆の恐怖心の醸成、西側インフラのレジリエンス探索といった特徴があります。」
つまりロシアは、イランと同様に市民の恐怖心を煽ることに関心を持つと同時に、西側インフラに関する情報を取得するという追加的な利益も狙っています。欧州やNATO隣接国への標的リスクは高く、インターネットに露出した米国の市町村水道システムへのリスクも中〜高程度とみなされています。
一方、水道システムに対する中国の活動は、活発なグループであるVolt Typhoonを中心に展開されています。CISA、NSA、FBIなどの機関は2024年2月、Volt Typhoonが水道・下水道を含む米国の重要インフラを侵害していたと警告しました。同年後半にはEPAが60,000以上の水道・下水道システムに対し、この高度持続的脅威(APT)への警戒を呼びかけました。
中国の目的はロシアやイランほど明確ではありません。これらの攻撃は、将来起こりうる軍事衝突に備えてアクセスを事前に確立しようとするものと見られており、中国が歴史的にとってきた戦略です。「即時の効果を示すのではなく、Volt Typhoonの目的は持続的なアクセス確保、偵察、そして戦略的な事前布石です」と研究者たちは述べています。
DomainToolsは、こうした長期的な活動に対する脅威レベルを「深刻(severe)」と評価する一方、短期的な障害のリスクは低いとしています。
水道への攻撃は深刻だが、対策は明快
これらすべての攻撃における初期アクセスポイントは似通っていました。イランは脆弱な認証とインターネットに露出したPLC(プログラマブルロジックコントローラ)およびHMI(ヒューマンマシンインターフェース)を標的にしていました。ロシアはリモートアクセスの侵害とセキュリティが不十分なHMIインターフェースを悪用し、中国は認証情報の窃取、リモートアクセスの侵害、セキュリティの甘いHMI、そして脆弱なエッジデバイスを標的にしました。
問題はさらに単純です。ポーランドの情報機関は5月、ハッカーが昨年国内5カ所の浄水場に侵入したと発表しました。主な手口は、デフォルトまたは脆弱なパスワードと、インターネットに露出した制御システムの悪用でした。また研究者たちは、水道システムや関連インフラが請求システム、カスタマーポータル、サーバを経由して標的にされた攻撃事例についても報告しています。
「これらの事案が重要なのは、国家アクターがリスクを生み出すためにカスタムICSマルウェアを必要としないことを示しているからです。請求システム、カスタマーポータル、GISリポジトリ、ベンダーアクセス、リモート管理、IDシステム、バックアップ、SCADAに隣接するサーバはいずれも、有用なアクセス手段や情報収集の経路となり得ます」とリサーチブログは述べています。「したがって、犯罪的または帰属不明のインシデントは、より忍耐力・計画性・作戦意図を持つ国家アクターが悪用しうる同じ脆弱性の『実演』として扱われるべきです。」
生命の根幹を支える水道へのサイバー攻撃は確かに深刻ですが、脅威アクターが侵入に使う手口は決して複雑ではありません。DomainToolsの整理によれば、問題となっているのはインターネットに露出したHMIとPLC、脆弱またはデフォルトの認証情報、露出したリモートアクセスツール、共有アカウント、サポート切れのレガシーシステム、不十分な監視体制、そしてOT側とIT側のネットワーク分離の不備です。
DomainToolsの調査責任者兼CISO(最高情報セキュリティ責任者)であるダニエル・シュワルベ氏はDark Readingに対し、今回のリサーチの所見は水道システムを守る立場にあるかどうかにかかわらず、すべてのCISOが関心を持つべき内容だと述べています。HMIやSCADAシステムなど、リサーチで言及されたシステムの多くはさまざまな環境に存在しているからです。同氏は、各組織がシャドーITの問題を確認し、セキュリティチームが基本的な対策を評価・実施することを徹底すべきだと指摘しています。
ただし、従来のセキュリティ管理策と基本的な対策はあくまでも出発点であって、ゴールではありません。特にOT環境においてはなおさらです。
「従来の対策は一般的な低難度の脆弱性を排除し、より警戒の薄い環境へ脅威アクターを移動させるコストを課すことができます。しかしOT固有の活動は、専門的な問題です」とシュワルベ氏は説明します。「ここでの検知には、ネットワークのベースラインがどのように異なるかを理解するための、運用環境に関する深い専門知識が必要です。これはログの記録や自動分析のコストはもちろん、適切なエンジニアリングとインシデント対応経験を持つ人材を維持する面でも高コストになり得ます。一般的な対策でOT固有のネットワークを合理的にカバーできるとは到底言えません。むしろ必要なのは、一般的な対策から始め、その上に運用コンテキストの中でOT固有の対策を積み重ねていくというアプローチです。」
翻訳元: https://www.darkreading.com/ics-ot-security/iran-russia-china-target-water-systems-sabotage
