出典:Alamy Stock Photo/Zoonar GmbH
組織は仕事用携帯やノートパソコンを保護していますが、これらのデバイスに供給する電流をターゲットにした攻撃者が潜んでいる可能性があります。
直流(DC)電力調整は、ソーラーパネルやコネクテッドカーからスマートフォンや重要なコンピュータ部品まで、人々が日常的に使用する電子機器に供給される電力を安定化させるのに役立ちます。通信、産業オートメーション、データセンターなどの重要なインフラストラクチャ全体でも不可欠です。
DC調整器は安定した電圧を提供して、損傷や電力サージによる停止を防ぎます。しかし、技術の進化に伴い、電力エコシステムはより複雑になり、新たな攻撃ベクトルが生まれています。DC電力インフラへの有名な攻撃は多くありますが、それらは説明のつかない物理的損傷、安全システムの障害、不可解な停止として見られることが多いとNCC Groupのグローバル研究責任者アンディ・デイビスは説明します。
さらに、より新しく洗練されたDC調整器モデルの一部には、悪用される可能性のあるソフトウェアの脆弱性が見つかっています。
産業革命初期、システムが電力を必要とした時代、それは適切に調整される必要がありませんでした。電力は単に簡単なタスクを完了するために十分な電力を供給すればよかったのです。NCC Groupのグローバル研究責任者デイビスが補足します。
しかし、ITシステムは数十年にわたって極めて複雑になり、より多くの電力を必要とし、より大きな電圧変動が生じています。人工知能や量子コンピューティングなどの新興技術は膨大な電力を消費します。
「電力の一貫性を確保し、効率的に配信するための技術はより複雑になっています。」デイビスはDark Readingに語ります。「その結果、攻撃対象になったのです。」
「見落とされたセキュリティの依存性」
電力規制がますます複雑なエコシステムの管理に重要になっている一方で、それらは「しばしば見落とされるセキュリティ上の依存性」だとデイビスは述べています。潜在的な懸念がIT業界に浮上していますが、このレイヤーはそれが動作するシステムと同じように攻撃される可能性があるため、意識を高める必要があります。システムの電力フローを損なうことは、ネットワークを侵害するのと同じくらいの混乱を引き起こす可能性があります。
調整器はオペレーティングシステム(OS)の下に位置します。攻撃者は組織がマルウェア対策やアンチウイルスシステムで監視するレイヤーの外側に、簡単に隠れることができます。デイビスが明かします。
「インフラストラクチャ内に静かに隠れることが可能です。」デイビスは言います。「[脅威アクター]はインフラストラクチャ自体ではなく、電力制御インフラストラクチャにバックドアを作成することができます。」
最大の懸念の1つは、人々がしばしば電力の問題(説明のつかない物理的損傷、安全システムの障害、不可解な停止など)をグリッチと見なし、サイバー攻撃の可能性があるとは考えないことです。
このような考え方は組織を危機に陥らせる可能性があります。調整器がOS以下のレベルで動作するため、デバイスを正常に悪用して損なう脅威アクターは、パフォーマンスに影響を与え、シャットダウンをトリガーし、検出されずにハードウェアを損傷させることができます。ExtraHop CISOのチャド・ルメア氏が述べています。
「これらの要因により、DC電力調整器は、組織を損なおうとしたり、他の悪意のある目的のためにダウンタイムの窓を作成しようとしている攻撃者にとって、より頻繁で有利なターゲットになっています。」ルメア氏はDark Readingに語ります。
調整器:ハッカーにとって新たなジャックポット
組織は調整器をもはや受動的なコンポーネントとは見なせません。単に電圧を供給するのではなく、多くはプログラム可能でファームウェアドリブンなシステムであり、デバイスがどのように物理的に動作するかを制御しています。NetRise SVPのゲイリー・シュワルツ氏が説明し、この転換がいかに実際の製品に反映されているかを述べています。
同氏は半導体メーカーSTMicroelectronicsを一例として挙げています。このベンダーは設定可能な動作を備えたプログラム可能な電力デバイスを出荷しており、そのエコシステムは既にNational Vulnerability Databaseに ファームウェアとサポートソフトウェアに関連した多数のCVEが報告されています。シュワルツ氏が警告しています。
「電力規制がソフトウェア駆動型になると、他のコードと同じサプライチェーンリスクを引き継ぎます。」シュワルツ氏は述べています。「懸念は脆弱性の存在だけではなく、それがいかに速く悪用されるかです。」
潜在的な悪影響は2つのカテゴリーに分けられます。小規模な場合、攻撃者は複数のサーバーに影響を与える単一の電力調整器を悪用することができます。サーバーを攻撃する代わりに、脅威アクターがこれらのサーバーに電力を供給する 電力調整器を攻撃した場合、サービス妨害(DoS)攻撃を作成できます。デイビスが警告しています。
「データセンターのレベルまでスケールアップすると、複数のサーバーを攻撃する必要がなく、より大きな影響があります。」同氏は述べています。「大規模なサービス妨害シナリオの可能性があります。」
人々が被害を受ける可能性がある大規模な問題は、脅威アクターが運用技術(OT)のセーフティクリティカルシステムをターゲットにした場合に発生する可能性があります。車内の組み込みコンピュータを制御する 電力システムを搭載したコネクテッドカーは、攻撃がドライバーまたは乗客の安全を侵害する可能性がある一例です。デイビスが説明しています。
電力をセキュリティ上の問題として扱う
シュワルツ氏が指摘したように、保護されていない電力調整器はサプライチェーンのリスクにつながる可能性があります。複雑な電力アーキテクチャを構成するコンポーネントには、サードパーティのソフトウェアまたはファームウェアが組み込まれている可能性があり、開発方法に関するセキュリティの懸念が生じます。
潜在的な脅威の先手を打つために、組織は本質的に電力規制をセキュリティアーキテクチャの一部として扱う必要があります。デイビスが提言しています。調整器は背景の一部と見なされることが多く、したがって当たり前のものとして扱われています。多くの場合、電力はセキュリティの観点ではなく、使用観点から監視されており、その点を変える必要があります。同氏が促しています。
組織は既にDC電力調整器のセキュリティを改善する方法に精通しており、セグメンテーションと監視のようなエンタープライズネットワークに適用する標準プロトコルが必要です。電力管理ソフトウェアの暗号署名とセキュアブートメカニズムの実施は、DC電力調整器や他のハードウェアの操作を目指す脅威からの防御に必要な別の重要な要素です。ルメア氏がアドバイスしています。
デバイスが単に機器に電力を供給しているように見えるかもしれませんが、その機器はより多くの電力を消費するようになっています。複雑さは効率的な電力配分を求める流れから生まれました。人々はグリーンエネルギーと、それがいかに効率的に生成できるかについて懸念しています。デイビスが述べています。
「人々は複雑さが追加の脅威をもたらし、脅威モデルの一部と見なされる必要があることを理解する必要があります。」同氏は述べています。「総括すると、攻撃者がこの潜在的な脆弱性に隠れるために使用するリスクに関するものです。」
問題はより複雑になるだけなので、認識を高める必要があります 。
「AIが電力規制の一部として既に使用されているのを見ています。」デイビスは述べています。「それはもっと複雑になるでしょう。人々は今それに取り組む必要があります。」
