CPS攻撃の82%が公開資産への遠隔アクセスを悪用
Clarotyは、同社のリサーチチーム「Team82」による調査レポート「Analyzing CPS Attack Trends(CPS攻撃動向の分析)」を発表した。調査では、世界の重要インフラを支えるサイバーフィジカルシステム(CPS)に対する攻撃の多くが、インターネット上に公開された資産への遠隔アクセスを悪用していることが明らかになった。
公開資産を狙う攻撃の実態
本調査は過去12か月間にわたり、20以上の脅威アクター集団による200件以上の攻撃を分析したものである。分析の結果、CPSを標的とした攻撃の82%が、仮想ネットワークコンピューティング(VNC)プロトコルのクライアントを利用し、インターネット上に公開された資産へ遠隔アクセスする手法であった。
また、これらの攻撃の多くは比較的低レベルの技術で実行可能であり、対象となるデバイスやプロトコルに関する高度な知識や脆弱性を必要としない点が特徴とされる。
HMI・SCADAの侵害が多数
インシデントの66%では、ヒューマンマシンインターフェース(HMI)や、産業プロセスを監視・制御するデータ収集システム(SCADA)が侵害されていた。
これらのシステムはリアルタイムで産業プロセスを管理しているため、不正アクセスや操作が行われた場合、「重要サービスの停止」「設備・資産の物理的な損壊」「従業員や一般市民の安全への影響」など、極めて重大な影響を及ぼす可能性がある。
地政学的背景と連動する攻撃
調査では、CPSを標的とした攻撃が政治的・社会的な主張や目的と密接に関連していることも明らかになった。これらの攻撃は、既知の国家主導型攻撃者の動機と一致する傾向があるとされる。
Team82は、中東における地政学的緊張やロシアとウクライナ間の戦争などを背景に、インシデントの多くがロシアおよびイランと関係する脅威アクターによるものと分析している。
具体的には、イラン関連グループによるインシデントの81%が米国およびイスラエルの組織を標的としており、ロシア関連グループでは71%が欧州連合(EU)諸国の組織を標的としていた。また、ロシアによるEU内の標的としては、イタリア(18%)、フランス(11%)、スペイン(9%)が上位に挙げられている。
低い技術障壁で拡大する脅威
これらの攻撃は、日和見的な脅威アクターによって実行されるケースも多く、インターネット上で公開された資産をスキャンして発見し、政治的・社会的な主張の発信に悪用する特徴がある。
高度な標的型攻撃とは異なり、比較的低い技術的ハードルで実行可能であることから、攻撃の裾野が広がっていると考えられる。
CPS防御強化に向けた対策
Clarotyは、CPS環境の防御態勢を強化するための対策として、インターネット接続デバイスのセキュリティ対策、デフォルト設定や弱い認証情報の見直し、安全性の低いプロトコルのアップグレード、脅威アクターの動機や戦術の理解などを挙げている。
特に、VNCやModbusなど、認証や暗号化といった基本的なセキュリティ機能を欠くプロトコルの利用が攻撃に悪用されている点から、より安全な通信手段への移行が求められるとしている。
重要インフラへの影響拡大
Clarotyの最高技術責任者兼Team82責任者であるアミール・プレミンジャー 氏は、今回の調査により社会の基盤を支える運用システムへの侵入が確認されていると指摘する。
攻撃者は製造業、水道、廃棄物、発電、医療などの重要インフラを標的としており、これらの停止は深刻で危険な状況を招く可能性があるとしている。CPSのセキュリティ対策の強化の重要性を指摘している。組織はこれらのデバイスに関する対策の不備を見過ごすべきではないと述べている。
出典:PRTimes 世界の重要インフラを標的に、CPSへの直接アクセスを悪用したサイバー攻撃が増加
