出典:Tony Vingerhoets(Alamy Stock Photo経由)
オペレーショナル・テクノロジー(OT)に対するサイバー攻撃は近年、攻撃者が特注システムやレガシーシステムを理解していないこともあり、比較的おとなしいものでした。しかし、攻撃者が産業用機械への関心を強め、扱いにも慣れつつあることを示す初期の兆候があり、より深刻な損害を与えかねない瀬戸際にいる可能性があります。
10年前には、世界が新たな、より危険なサイバー攻撃の時代に突入したように見えたかもしれません。ロシアはウクライナの電力網をハッキングし、イスラエルと米国はイランの核施設を破壊工作しました。攻撃者はダムを標的にし、製造工場も狙っていました。これは現実世界に影響を及ぼし、ときに生命を脅かす結果すら招くサイバー活動でした。
結局、それはトレンドにはなりませんでした。その理由について、Orange Cyberdefenseのプリンシパル・セキュリティ・エンジニアであるRic Derbyshire氏は、「プロセス理解(process comprehension)」の欠如だと言います。たとえ重要なOTシステムに到達できたとしても、攻撃者は何が何だか分からないのです。
しかし、これが長くは続かないかもしれないことを示す証拠がいくつかあります。そして来月サンフランシスコで開催されるRSA Conference 2026での講演で、Derbyshire氏は、攻撃者がOTを理解し、彼が「リビング・オフ・ザ・プラント」攻撃と呼ぶものを実行し始めたときに、どれほど危険になるのかを実演する予定です。
現在のOTサイバー攻撃の状況
OTシステムに影響するサイバー攻撃は2020年代初頭に急増し、これまでに見られたものを桁違いに上回りました。しかし、そのほとんどはITを起点とするランサムウェアや恐喝攻撃の波及でした。
「いくつかの理由で、ITに対するランサムウェアがOTに影響しています」とDerbyshire氏は説明します。「たとえば、OTが依存せざるを得ないIT環境内の統合(コンバージェンス)によって起こり得ます。あるいは、ITまたはOTのセキュリティチームがセキュリティ制御やネットワークアーキテクチャをまったく信頼しておらず、(IT攻撃の)拡散を防ぐために、OTシステムを自主的に停止したり接続を切断したりすることもあります。Colonial Pipelineのような形です。」
攻撃者が重要システムに偶然入り込んでも、それを活用しようとしない、あるいは活用方法を知らないことがあります。昨年4月に起きたノルウェー西部のダムへの攻撃はその一例です。その攻撃についてDerbyshire氏はこう振り返ります。「インターネットに接続されたヒューマン・マシン・インターフェース(HMI)にデフォルト認証情報が残っているのを見つけました。侵入して、基本機能であちこちクリックして回っただけです。OT環境の機能を使ってはいましたが、やり方は非常に粗雑でした。環境がどう動くのかを学ぼうとしていなかった。かなり恐ろしかったです。悪いことをできたはずなのに、結局しなかっただけでした。」
これをITと比べると、平均以上のハッカーでさえ、扱っている技術に非常に習熟しているため、感染させたシステムの正規のツールや機能だけを使って完全なサイバー攻撃を実行できます。これは一般に「リビング・オフ・ザ・ランド」(LotL)と呼ばれる手口です。
リビング・オフ・ザ・プラント
OT環境におけるLotLはどのようなものになるのでしょうか。
Derbyshire氏は、配管や配線がどうつながっているかを理解するだけでは不十分だと主張します。「全体を、包括的に把握する必要があります」と彼は言います。「物理プロセス、そこにOTがどう重なって制御・監視・自動化しているのか、その上にネットワークアーキテクチャがどう重なっているのか、ネットワークの上にサイバーセキュリティ制御がどう重なっているのか、人がそれらすべてとどう関わっているのか。」
概念的な理解を超えて、個々のOT環境には固有の事情があります。企業ITネットワークは驚きが少ない一方で、真新しい消費財の製造工場と、半世紀前の水処理システムとでは、互いにまったく異質に見えるでしょう。
実際、古い拠点の中でさえ、極めて予測不能なシステムが動いていることがあります。地元の水処理会社を例に、Derbyshire氏は、広い地理的範囲にわたって複数の個別サイトがあり、それぞれが異なる時期に建設されていると説明します。
「80年代のものもあれば、2000年代のものもあり、2020年代のものもあります。そして当時の最適解に応じて、アーキテクチャも異なります」と彼は言います。「更新されていないかもしれない、異なる時代の特定の技術が使われていて、結果としてすべてが違ってくるのです。」
そのためDerbyshire氏は、「抽象的な技術レベルでOTを理解するだけでは足りません。影響を与えたい物理環境が具体的にどう動いているのかを、踏み込んで理解しなければならない」と付け加えます。
OTの仕組みを包括的に理解し、特定のOTサイトがどう動くかを把握すると、新たな脅威ベクトルが突然見えてきます。それは、LotL攻撃がWindowsやLinuxシステムに溶け込むのと同じくらい巧みに、運用システムと融合し得ます。たとえばDerbyshire氏はRSACで、攻撃者がS7comm(Siemens独自の、プログラマブル・ロジック・コントローラ(PLC)間の通信プロトコル)を武器化できることを実演する予定です。S7commで見落とされがちな設定フィールドを操作することで、攻撃者が機微なデータを漏えいさせたり、デバイス間で攻撃を伝播させたりできる可能性があることを示すといいます。彼はこれを「脳が溶けるレベル」と呼びます。
秘匿によるセキュリティ:再び流行?
Derbyshire氏の主張が示す意外な含意は、秘匿によるセキュリティという概念が、OT運用者にとってはいまだ機能しているかもしれないという点です。というのも、各OTネットワークは結局のところ、固有で、ときに予測不能なほど年代の異なる技術が寄せ集まった、非常にユニークなパッチワークだからです。
「秘匿によるセキュリティは、絶対に頼るべきものではないと思いますが、活用できるものではあります」と彼は言います。「相手から自分の環境の理解を奪えれば、攻撃がどう機能するかという確信も奪えます。そうすると相手は(あなたのネットワーク内で)より長く待つことになり、こちらとしては検知し、その後の復旧に着手するための時間を、うまくいけばより多く確保できます。」
一方で彼は、攻撃者がOT製品をより深く理解するために利用できるリソースは多いと警告します。教科書、チャットボット、あるいは中古市場でPLCを購入することさえ含まれます。「こうしたマイナーなものを探し出すには、多少の投資や、わざわざ時間を割く必要はあります。でも不可能だったことは一度もなく、しかもどんどん簡単になっています」とDerbyshire氏は言います。
その一例として彼が挙げるのが、Unitronics製PLCに関与した2023年のCyberAv3ngersキャンペーンです。「OpenAIが、『(他のことに加えて)デフォルトのユーザー名とパスワードを尋ねるために、彼らがChatGPTとやり取りしているのを確認した』という趣旨のレポートを出しました。彼らが『では、このプロトコルはどう動くんだ?』と言い始めるのも、さほど飛躍ではありません。」
翻訳元: https://www.darkreading.com/ics-ot-security/ot-attacks-living-off-the-plant
