ポーランドのエネルギー網に対する最近のサイバー攻撃は、安全でないエッジデバイスのリスクについて、すべての重要インフラ運用者に警鐘を鳴らすべきだと、米サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は火曜日に述べた。
警告の中で、ポーランドの報告書が12月のインシデントについて強調していることを受け――非常に寒い時期に国内の一部で電力供給をほぼ麻痺させかけたこの事案について――CISAは、ハッカーが運用技術(OT)を損傷させるワイパー型マルウェアを展開する前に、当初「脆弱なインターネット公開のエッジデバイスを通じて」システムへ侵入したと指摘した。
「この悪意あるサイバー活動は、脆弱なエッジデバイスを抱える重要インフラ組織が、OTおよび産業用制御システムを標的とするサイバー脅威活動に対抗するため、サイバーセキュリティ態勢を強化すべく今すぐ行動する必要性を浮き彫りにしている」とCISAは述べた。CISAは先週、連邦機関に対し安全でないエッジデバイスの切り離しを開始するよう命じている。
攻撃は12月下旬に始まった。脅威アクターが、多要素認証がなくインターネットに露出していたFortiGateのセキュリティ機器にログインしたのである。おそらく使い回しのパスワードが用いられた。その後、デフォルトのログイン認証情報を持つアカウントを使って、さまざまなOT制御機器にアクセスした。場合によっては、それらのアカウントに機器のファームウェアを変更する権限があり、ハッカーは機器の動作コードを破損させることができた。別のケースでは、ハッカーが重要なシステムファイルを削除したり、さらなる破壊工作を可能にするためファイアウォール規則を再設定したりした。
標的となったポーランドの風力・太陽光発電所は、日立、Mikronika、Moxaなど複数企業のOT制御機器を使用していたが、いずれの機器もデフォルトのパスワードが使われていた。
その結果生じた破壊工作は「施設と配電系統運用者の間での可視性と制御の喪失を引き起こし、ヒューマン・マシン・インターフェース(HMI)上のデータを破壊し、OT機器のシステムファームウェアを破損させた」とCISAは述べた。「影響を受けた再生可能エネルギーシステムは生産を継続していたものの、系統運用者は本来の設計どおりにそれらを制御または監視できなかった。」
ポーランドは、この攻撃をモスクワの連邦保安庁(FSB)内に置かれるロシア政府系ハッカーチーム「Berserk Bear」によるものだとした。一方でESETはSandworm、すなわちロシア軍参謀本部情報総局(GRU)の軍事情報機関の部隊を非難した。
OT資産運用者への示唆
CISAの勧告は、このインシデントから得られる複数の教訓を列挙した。そこには、エッジデバイスが引き続き脆弱であること、デフォルトパスワードの危険性、そしてOT機器でファームウェア検証を有効化する必要性が含まれる。
「運用者は直ちにデフォルトパスワードを変更し、今後はインテグレーターやOTサプライヤーに対しパスワード変更を徹底させる要件を確立すべきだ」と同庁は警告した。
CISAは、エネルギー省のサイバーセキュリティ・エネルギー安全保障・緊急対応局(CESER)とともに、重要インフラ運用者に対し、ポーランドの勧告、OTセキュリティに関する米国の最新ファクトシート、およびエネルギー省独自のサイバー脅威勧告を確認するよう促した。
英国政府も、このインシデントを利用して重要インフラ関係者に注意喚起を行った。
「このようなインシデントはサイバー脅威の深刻さを物語っており、強固なサイバー防御とレジリエンスの必要性を浮き彫りにする」と、英国ナショナル・サイバー・セキュリティ・センターの高官であるジョナサン・エリソンは、月曜日にLinkedInで記した。「英国の重要国家インフラ(CNI)の運用者は、留意するだけでなく、以前から述べてきたとおり、今すぐ行動しなければならない。」
