3か月間の観測期間において、Forescoutの研究者は、産業ネットワークのエッジに配置されたデバイスを標的とする6,000万件超の悪意あるリクエストを記録しました。ハニーポット活動の分析により、明確なパターンが判明しました。境界デバイス(産業用ルーターおよびファイアウォール)は、たまたまインターネットに露出してしまったシステムよりもはるかに高頻度で攻撃を受けています。これらのエッジ資産だけで、観測された悪意ある活動全体の約3分の2を占めました。
リクエストの大半はSSHおよびTelnetサービスを標的としており、自動化されたクレデンシャルスタッフィングやブルートフォースによるログイン試行が主要な脅威となっていました。活動の約4分の1を占めたHTTPおよびHTTPSトラフィックは、主として脆弱性の悪用試行と悪意あるペイロードの配布に関連していました。
特に顕著な新興脅威として、RondoDoxおよびShadowV2のボットネットが挙げられました。5月に初めて検知されたばかりのRondoDoxは、すでに50件以上のエクスプロイトを活用しており、その一部には公開識別子が存在しないものもあります。後から出現したShadowV2も急速に勢いを増しています。両者はいずれも同じ手口に依存しています。すなわち、脆弱なデバイスに悪意あるバイナリをダウンロードさせるためのコマンドを実行することです。
特に注目を集めたのが、Chaya_005と呼ばれる活動クラスターです。その挙動は非典型的で、HTTPリクエストには不正な形式のエクスプロイトや、標的デバイスと整合しないパラメータが含まれている一方、全体としては潜在的に脆弱なシステムから応答を引き出そうとする意図が示されています。これは標準的なボットネットの挙動には見えず、むしろ偵察段階—マルウェア配布、暗号資産マイニング、またはプロキシ展開のいずれかの後続利用に向けた標的リストの作成—を反映している可能性があります。
Chaya_005は少なくとも2年間活動しています。初期の活動はSierra Wireless製ルーターの既知の脆弱性の悪用に集中していましたが、時間の経過とともに、別のデバイスやアドレス範囲へと移行しました。注目すべき点として、一部のIPアドレスが約1年周期で再出現しており、最終的に悪意あるバイナリが配布されることはありませんでした—これは、準備的または研究志向のキャンペーンであることを示唆する状況証拠です。さらに、関与したIPアドレスには、広範な侵害や典型的な悪意ある活動への参加を示す兆候は見られませんでした。
Chaya_005が純粋な悪意ある攻撃者ではなく研究機関に関連している可能性を完全に排除することはできないものの、そのようなシナリオは考えにくいとされています。報告書の著者によれば、最大のリスクはサポート終了に達したルーターを悪用しようとする試みにあります。その一例がLS300モデルで、2021年以降セキュリティ更新を受けておらず、さらに3Gネットワークの段階的廃止によりその重要性は一層低下しています。それでも、この種のデバイスは産業環境全体で依然として使用されています。
著者らは、ITとOTの環境がますます密接に結び付くにつれ、脅威を「情報系」か「運用系」かのいずれかにきれいに分類することはもはやできないと強調しています。デンマークのエネルギー分野で発生した過去の事案—企業が隔離された運用モードを余儀なくされた—は、もともとIT用途で配備されたエッジルーターの侵害によって引き起こされました。このようなケースは孤立したものではなく、同様のインフラ上の弱点は欧州全域に残存しています。
これらのリスクを軽減するため、専門家は、ネットワーク接続されたすべてのデバイスを特定すること、デフォルトの認証情報を変更すること、未使用のサービスを無効化すること、OT資産をパブリックインターネットから隔離すること、侵入試行や異常な挙動を検知できる監視ソリューションを導入することを推奨しています。
