アナリストは、多くの企業が物理セキュリティでは、仮想世界では決してしないような手抜きをしており、その結果として企業を危険にさらしていると指摘する。
フランスのフェリーに対する最近の攻撃では、攻撃者が船舶の運航システムに侵入しようとして、Raspberry Piと呼ばれる小型コンピュータをネットワークに接続したと報じられている。この事件は、企業のCISOにとって重要な教訓を示している。あるアナリストは、同様の攻撃が物理環境に対して行われた場合、全企業の半数が侵害される可能性が高いと見積もった。
ブルームバーグの報道によると、このフェリーは攻撃未遂のため、「アルジェリアへ出航する準備をしていたところ、南フランスのセート港で土曜日に航行不能となった」。Raspberry Pi端末は「携帯電話モデムと組み合わされており、フェリーの内部コンピュータネットワークおよび外部接続へのリモートアクセスを可能にしていた」。
記事によれば、良いニュースとして、船内の適切なセキュリティ手順により攻撃未遂は阻止されたという。「捜査当局は、事務系ネットワークと運用系ネットワークの分離に加え、重要な制御へのリモートアクセスが存在しなかったことが、横方向の移動を防ぎ、破壊工作や乗っ取りのシナリオを排除したと述べた。」
企業の統制は「間違った道を監視している」
企業のサイバーセキュリティ責任者にとっての問題は、陸上の建物――オフィス、店舗、ガソリンスタンド、銀行支店、製造施設など――が、同様の物理攻撃にどれほど耐えられるかという点だ。アナリストや他のセキュリティ専門家は、その結果に楽観的ではなかった。
「多くの企業のセキュリティプログラムは、いまだに誤ったタイプの侵入者を前提に作られています。侵入してくる人ではなく、入ってくる人に備えるべきなのに、前者に合わせて作られている。そして、不正デバイスの話は、その変化を最も明確に示すシグナルです」と、Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは述べた。「携帯モデムを備えたRaspberry Piクラスのデバイスは、単なる気の利いたガジェットではなく、建物の内部から新たな境界(ペリメータ)を作り出す手段なのです。」
彼は、攻撃者は「ファイアウォールと戦う必要がありません。回り込めるなら、です。配線盤(ワイヤリングクローゼット)に自前のインターネット接続を持ち込めるなら、VPNを破る必要もありません」と指摘した。「CISOが眠れなくなるべきなのはそこです。なぜなら、私たちが称賛している多くの統制が、間違った道を監視していることを意味するからです。通信がセルラー経由で外に出ていけば、監視しているゲートウェイを通りません。SOCがすべて正しく運用していても、何も見えないのです。」
Info-Tech Research Groupのプリンシパル・リサーチ・ディレクターであるFred Chagnonも、Gogiaの懸念に同意した。
「多くのオフィスには、ロビー、会議テーブルの下、廊下などに、稼働中のEthernetポートが何十個もあります。これらはデフォルトで、スイッチレベルで管理的に無効化されるべきです。ポートは、802.1X認証によって特定の許可されたMACアドレスが検証された場合にのみ有効化されるべきです」とChagnonは述べた。
さらに彼は、「現代の脅威アクターはMACスプーフィングを使い、Raspberry Piを正規のVoIP電話やプリンターのように見せかけます。CISOは、Sepioや高度なNACのように、物理層のフィンガープリンティングを行うツールに投資すべきです。これらのツールは、ハードウェアの電気的特性やタイミング特性を分析し、『プリンター』が実はLinuxベースのインプラントであるかどうかを検出します」と付け加えた。
Chagnonはまた、鍵が必要なポートロックの広範な使用や、筐体およびポートに改ざん検知テープを貼るなどの対策も推奨した。「セキュリティ巡回には、余分な配線、無許可のUSBハブ、資産台帳と一致しない小箱がないかを確認することも含めるべきです」と彼は付け加えた。「立ち入り制限区域の扉が開き、同時にそのローカルスイッチ上に新しい未知のデバイスが現れた場合、SOCは高優先度の相関アラートを受け取るべきです。」
ForresterのシニアアナリストであるPaddy Harringtonは、多くの企業のセキュリティ責任者が「こうしたものがどれほど攻撃に弱いかを忘れている」と述べ、特にIoTおよびOTデバイスを主要な標的として挙げた。Harringtonによれば、あまりに多くのセキュリティ担当者が、フィットネストラッカーのようなシャドーデバイスが「何をするはずか」ばかりを見ており、そのデバイスが得られるアクセス権がバックドア攻撃の起点になり得る点に注目していないという。
「Ethernetポートに近づいて、何でも挿せるようであってはなりません。そのデバイスは認証される必要があります」とHarringtonは述べ、全企業の50%がデバイスセキュリティで手抜きをしすぎていると見積もっていると付け加えた。「なぜIoTの電球が財務データにアクセスできる必要があるのでしょうか?」と彼は問いかけた。
物理セキュリティについて企業のセキュリティリーダーに突きつけると、反発を受けることがあると彼は言う。例えば、最近のネットワークセグメンテーションに関する議論で、ある幹部は彼にこう言った。「そこまで環境をセグメント化するには多大な時間と労力がかかるし、資金は別のところに振り向けている。」
Harringtonは、「申し訳ないが、それは言い訳として不十分だ」と述べた。
一方で、LexisNexis Risk Solutions GroupのCISOであるFlavio Villanustreは、こうした種類の物理攻撃は阻止が難しい場合があると述べた。
「Raspberry Piのような安価で非常に高性能なシングルボードコンピュータの普及により、この問題ははるかに難しくなりました。ネットワーク内の侵入検知は行動上の異常を検出すべきですが、大規模で複雑なネットワークでは、Raspberry Piが単なる普通のIoTデバイスの一つに見えてしまうため、言うほど簡単ではありません」とVillanustreは指摘した。「そしてこれは、それが実際にネットワークに接続されていた場合の話であって、船の制御システムにある古いシリアルバスに接続されていたのではなく、という前提です。」
慎重に進める
Villanustreは、そのようなデバイスを発見した人に対し、慎重に対処するよう促した。
「注意しなければ、デバイスを切断することで重要なフォレンジック情報を失う可能性があります。ネットワークから切断されたり、何らかの形で改ざんされたりした場合に自己消去できるだけの時間を与える小型バッテリーやスーパーキャパシタを搭載するのは、それほど難しくありません」とVillanustreは述べた。「偽情報を送ろうとするのはさらに難しい。何を送るべきかを知るために、そのデバイスが使用しているプロトコルを特定する必要があるからです。より大きな懸念は、そのデバイスが船内の別のデバイスに接続されていて、改ざんされた場合に有害な動作を引き起こす可能性があることです。爆発物を起爆することさえあり得ます。」
Whisper SecurityのCEOであるKaveh Ranjibarは、この種の物理的発見への対処に関する助言として、「即時の隔離とフォレンジック分析。ただし、物理的に取り外す前に一つ重要なステップがある。影響範囲(ブラスト・レディアス)を把握することだ」と付け加えた。「プラグを抜く前に、デバイスのネットワークトラフィックを捕捉しなさい。誰と通信しているのか?どのドメインを問い合わせているのか?」
「インフラ・インテリジェンスを使えば、利用しているC2サーバーの“近隣”からアクターを特定できることが多く、ハードウェアに触れる前に、スクリプトキディなのかGRUの作戦なのかを理解できます」とRanjibarは述べた。
Ranjibarは、そのようなデバイスが“ホーム”に通信する際、多くの有用な情報が明らかになる可能性があると述べた。
「携帯モデムを備えたRaspberry Piのような不正デバイスも、不可視ではありません。コマンドを受け取ったりデータを持ち出したりするために、必ず“ホーム”に通信する必要があります。インフラ上の足跡を残すのです。新しいIPアドレス、DNS解決、あるいは特定の自律システム番号(ASN)への接続です」とRanjibarは述べた。
彼はさらに、「CISOは内部LANの監視だけにとどまってはいけません。継続的な外部インフラ監視が必要です。船舶や建物内のデバイスが、国家支援型マルウェアのホスティングで知られるネットワークブロックと通信し始めたり、周辺に新たなシャドー資産が現れたりしたら、それがトリップワイヤーです。デバイスを設置する人物を捕まえられないかもしれませんが、デバイスがインターネットに接続した瞬間に、即座に検知できるべきです。」
