こんにちは、Diogenes です。今回は、MITRE ATT&CK For ICS というフレームワークについてご紹介したいと思います。
MITRE ATT&CK というと、APTサイバー攻撃グループの手法をマトリックス形式にとりまとめたフレームワークが有名です。膨大な手間とこだわりを要する作業だと思いますが、現在もマトリックスは更新されつづけています。
世の中を動かす仕事が常にそうであるように、強い情熱やこだわりに裏打ちされた仕事だと思います。
1.制御システムへの脅威
さて、MITRE ATT&CK For ICS ですが、ICS(Industrial Control System)には、日本語で「産業制御システム」という言葉があてられます。最近では、ITに対してOTという言い方もよく目にするところです。
制御システムのセキュリティというと、思い浮かべるのは、次のようなことではないでしょうか。
・金銭または機密情報を目的としたサイバー攻撃による、企業の工場その他設備の稼働停止
・交通インフラ、医療インフラ、電力インフラ、通信インフラなど社会基盤を狙ったサイバーテロ
前者については、すでにその被害発生例は枚挙に暇がないところです。
本当に金銭目的なのか、それにカモフラージュした破壊行為が目的なのかは議論の分かれるところではありますが、いわゆるランサムウェア系の攻撃として報道されたものが該当します。
後者については、例えばイランとイスラエルの間など、一定のサイバー攻撃能力を持つ国家間同士の対立関係がある場合には、お互いの社会インフラに対するサイバー攻撃が既に半日常的に繰り返されている*1と言われています。
2.制御システムの脅威シナリオ
このようなことを念頭において、実際にMITRE ATT&CK for ICS の概要を確認してみましょう。
図1:MITRE ATT&CK For ICS フレームワーク
(MITRE社ウェブサイトのマトリックスを筆者がExcel上に写し取ったもの)
図1が、実際のマトリックスを転載したものになります。このひとつひとつの升目が、攻撃者の用いるテクニックに対応しています。MITRE社のページでは、このテクニックの単位で、概要、手順例、緩和策(対抗策)などを説明するページが用意されています。
このマトリックスを大きく見ると、弓なりになっていることがわかります。
初期侵入の仕方や、最後の被害具現化のやり方(被害の表れ方)は様々であっても、既に何らかの足がかりを築いた攻撃者が目的達成のために踏む手順は、比較的パターン化されていると解釈できます。
それは、実際の事故事例を見ればわかるように、
(1)HMI、SCADAはじめ、制御システムを操作できる高権限操作端末を乗っ取る、または操作端になりすます
(2)使われている制御システムプロトコルを特定し、その仕様を理解する
(3)偽の制御コマンドをはじめとして、不正な指示を発行する
といった流れで行われることが典型的です。
((1)と(2)は、時間的前後関係が逆転する、または(1)→(2)→(1)→(2)のように試行がループした場合も多くあると推測されます)
制御系システムのセキュリティといったとき、どうしても、(3)にばかり注目があつまる傾向があります。
ポンプが操作されて下水が逆流してしまった事件*2も、線路切り換えが不正に行われて列車が脱線してしまった事件*3も、核関連施設における遠心分離機が異常な回転数指示によって破壊された事件*4も、目に見える大きな、「最終的な」被害事象の直接原因はすべて(3)の「偽の制御コマンド発行」の結果おこると考えられるからです。しかし、対策を打つべき箇所と、実害が最終的に発生する箇所は同じとは限りません。
たしかに、(1)、(2)が行われても、(3)につながらない仕組み、つまり実際の物理的制御機構に送られた指示が正当なものかどうかを認証・検証する仕組みが、最終的には必要なのかもしれません。(それは、ITの世界において言われ始めている、ゼロトラストを実装することに他なりません。)
しかしそれは、セキュリティ強化による設備製品価格の上昇を市場が受け入れていくことが前提となり、制御デバイスや制御プロトコルのセキュリティに関する法規制や基準づくりも視野にいれる必要があることを考えると、大変時間のかかる取り組みとならざるを得ないでしょう。
現実の脅威は、待ってはくれませんから、より直近の話としては、「(1)の時点で論理的には終わり」、「(2)の時点で現実に終わり」と考えなければならないと思いますし、それを起こさない対策が必要です。
3.MITRE ATT&CK を用いて、対策を考察する
では次に、制御システム関連のネットワーク(制御情報ネットワーク)へと何らかの足がかりを築いた攻撃者が行うと想定される、この「(1)、(2)」のフェーズに関連の深い攻撃テクニックをMITRE-ICS、DiscoveryフェーズおよびLateralフェーズからいくつか抽出し、考えられる対策を考察してみたいと思います。
(独断と偏見によるピックアップであり、全く網羅的なものではありません)
表1. 典型的行動と関係の深い攻撃者テクニック例
No. |
KCフェーズ |
テクニック名 |
補足 |
攻撃目的例 |
1 |
Discovery |
Wireless Sniffing |
WirelessHART / Zigbee / WIA-FAなどの無線通信規格による通信が制御と関連している場合、その内容がSDR機材によって盗聴される。 |
・高権限操作端末特定 ・制御プロトコル特定 |
2 |
Discovery |
Network Sniffing |
いわゆる、ネットワーク盗聴。ArpSpoofやDNS Poisoning などの、完全なパッシブ盗聴ではない手法が用いられることが多い。 |
・高権限操作端末特定 ・制御プロトコル特定 |
3 |
Lateral |
Default Credentials |
マニュアルやオフィシャルサイト等で公開されているなどで既知である、デフォルト認証情報の悪用。 |
・高権限操作端末への侵入 |
4 |
Lateral |
Valid Accounts |
何らかの手法で奪取した、正規ユーザ等の認証情報を盗用して横展開する。 |
・高権限操作端末への侵入 |
5 |
Lateral |
Remote Services |
RDPやVNCなどの、悪用しやすいサービス/プロトコルを利用して横展開する。高権限端末上で稼働する場合、被害は深刻になりやすい。 |
・高権限操作端末への侵入 |
通信盗聴に用いられる ARP Spoofingなどの手法は、リプレイ攻撃や中間者攻撃と直結しており、制御プロトコルが単純なものであれば、この時点でキャプチャした通信を再送するだけで不正操作が可能になる、ということも少なくないと考えられます。
このような場合、制御プロトコル自体の更新をメーカ等と相談するか、そもそも通信盗聴が成立し得ない環境(物理セキュリティ、ARP Spoofing やDNS Poisoningの検知等)の用意を行うしかありません。
それほど制御プロトコルが単純ではなかったとしても、この段階で、高権限操作端末の特定が行われるでしょう。
その高権限操作端末への横展開については、認証情報の盗用、リモートサービスなどが典型的と予想されます。
これについては、利用するサービスを管理する、認証情報の変更を含めた管理を徹底するなどの確実な運用が求められますが、徹底することがもっとも難しい領域でもあります。
個人依存性を排除して安全な状態を保つには、外部による監査やテストなどを検討することも必要でしょう。
4.終わりに
制御システム関連の脅威は現実であり、今後ますます狙われることがほぼ確実で、かつ危険な状態にあります。つまり取り組みは待ったなしと言っていいと思います。
しかし、いざ取り組むとなると大きな方向性が2つあり、どちらが進むべき道なのか、結論が出ていなかった感がありました。
方向性とは、
製造業DXが叫ばれる現代において、つながるスマート工場等を踏まえた時代の変化は「2.」の道を要請していると思います。
しかし、時間のかかる「2.」の道を模索しながらも、当面は「1.」も合わせて凌ぐ、というバランスアプローチが求められているのではないでしょうか。