ポーランドの電力網に対する破壊的サイバー攻撃の最近の試みを受け、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、米国の重要インフラの所有者および運用者に向けた警告を公表した。
火曜日の警告は、ポーランドのコンピュータ緊急対応チームが公表した1月30日付の報告に続くものだ。同報告は、12月の攻撃がロシア政府と関係のあるハッキンググループが使用するインフラと大きく重なっており、風力発電所および太陽光発電所30カ所などを標的にしていたと結論づけている。
CISAは、この警告は当該ポーランド報告を「増幅」することを意図したものだと述べた。特にCISAは、この攻撃が運用技術(OT)および産業用制御システム(ICS)への脅威を浮き彫りにしたとし、これらは主にエネルギーおよび製造分野で使用されていると指摘した。
またCISAの警告は、先週、連邦機関に対してサポート対象外製品をシステムから排除するよう求めた拘束力のある運用指令を受け、ルーターやファイアウォールといったエッジデバイスの保護に最近注力している同庁の流れを継ぐものでもある。
警告には「この悪意あるサイバー活動は、脆弱なエッジデバイスを抱える重要インフラ事業体が、OTおよびICSを標的とするサイバー脅威活動に対してサイバーセキュリティ態勢を強化するため、今すぐ行動する必要性を浮き彫りにしている」とある。
さらに「本件では、悪意あるサイバー行為者が脆弱なインターネット公開型エッジデバイスを通じて初期アクセスを獲得し、その後ワイパー型マルウェアを展開して遠隔端末装置(RTU)に損害を与えた」としている。「この悪意あるサイバー活動により、施設と配電系統運用者の間での可視性と制御が失われ、ヒューマン・マシン・インターフェース(HMI)上のデータが破壊され、OTデバイスのシステムファームウェアが破損した。影響を受けた再生可能エネルギーシステムは生産を継続したものの、システム運用者は本来の設計どおりにそれらを制御または監視できなかった。」
CISAは、所有者および運用者に対し、ポーランドの報告書に加え、他の米国政府機関によるセキュリティ指針も確認するよう促した。
ポーランドを狙ったこの攻撃は、同国のCERTが「意図的な放火」に例え、同国が低温と吹雪に苦しんでいた時期に「純粋に破壊的な目的」を持っていたとしているが、その影響は世界の他地域にも波及している。
英国の国家サイバーセキュリティセンター(NCSC)で国家レジリエンス担当ディレクターを務めるジョナソン・エリソン氏は月曜日、LinkedInの投稿で「英国の重要国家インフラ(CNI)の運用者は、注視するだけでなく、以前から述べてきたとおり、今すぐ行動しなければならない」と述べた。
産業用制御システムを専門とするサイバーセキュリティ企業Dragosは、この攻撃が新たなフロンティアを示すものだと述べた。
同社は先月の報告書で、「これは、分散型エネルギー資源(DER)――世界中の送電網に追加されつつある小規模な風力、太陽光、CHP[コージェネレーション(熱電併給)]施設――を標的とした初の大規模サイバー攻撃である」と記した。「2015年および2016年にウクライナで発生した電力網攻撃で影響を受けた集中型システムとは異なり、これらの分散型システムは数が多く、広範な遠隔接続を必要とし、サイバーセキュリティ投資も少ないことが多い。この攻撃は、これらが今や高度な敵対者にとって有効な標的であることを示している。」
ポーランドの分析は、攻撃に使用されたインフラが、Static Tundra、Berserk Bear、Ghost Blizzard、Dragonflyとしても知られるグループが使用するものと重なっていたと結論づけた。
翻訳元: https://cyberscoop.com/cisa-warning-russian-cyberattack-poland-power-grid/
