概要：重要インフラへの脅威が増大

セキュリティ企業Trellixが発表したレポートによると、運用技術（OT）を標的とするハッカーによる攻撃が増加傾向にあり、その中でも特に製造業が最大の被害を受けていることが明らかになりました。

Trellixの重要インフラ顧客における検出の42%が製造業に対するものであり、ハッカーにとって主要な標的であり続けています。これに続き、運輸・海運会社、公益事業者、エネルギー生産者、航空宇宙企業が上位5位を占めています。

同レポートは、企業がOTセキュリティを強化するために、ネットワークのセグメンテーション、脆弱性の修正、レガシー機器の交換に注力すべきだと提言しています。

IT/OT境界の脆弱性と攻撃手法

Trellixの調査期間（4月から9月）のデータに基づくと、過去5年間でOTへの攻撃は「偶発的なITからの波及から、犯罪者および国家支援型アクターによる重要インフラへの意図的な標的化へと変化した」と指摘されています。

ITとOT資産の境界は、多くのインフラプロバイダーのネットワークにおいて最も脆弱な点の一つであり、OTシステムを標的とする一般的な攻撃手法がこの領域を悪用していることが判明しました。主な攻撃ベクトルは、PowerShellとCobalt Strikeであり、ハッカーは産業用制御システム（ICS）プロトコルをスキャンし、マシン間を横方向に移動し、盗まれた認証情報を展開しています。

ハッカーは、低レベルの産業プロセス制御システムを直接標的とすることの困難さと可視性のリスクを認識し、代わりにネットワークを橋渡しする「境界デバイス」の侵害を優先しています。これらのデバイスは、産業機器に直接接続されたコンピューターよりも一般的な脆弱性を抱えていますが、それでも機器を操作したり、損傷させたりする可能性があります。一部のケースでは、ハッカーが産業機器の安全システムを制御するコンピューター上のデータを破壊したり、それらのシステムを完全に停止させようと試みています。

レポートは、「製造業とエネルギー部門への攻撃の集中、および安全システムを標的とする動きの出現は、世界のインフラにとって重大な脅威である」と警告しています。

レガシープロトコルとPLCへのリスク

企業が使用しているレガシーな産業用制御システムプロトコルがリスクを高めていると、レポートは警鐘を鳴らしています。ModbusやDNP3のようなプロトコルは本質的に安全性が低く、監視制御・データ収集（SCADA）デバイスメーカーの独自プロトコルも同様です。

「プログラマブルロジックコントローラ（PLC）は標的化が増加している」とし、ロシア関連のTritonマルウェアがSchneider Electric Triconexシステムに対して展開された事例を強調しています。

さらに、驚くべきことに、企業はOT資産の脆弱性を修正するのに、従来のITシステムよりも遥かに長い時間を要していることが報告されています。具体的には、OTでは平均180日かかるのに対し、ITでは30日で対応されています。

推奨される対策

OTリスクを軽減するために、レポートは以下の対策を推奨しています。

• ネットワークをセグメント化し、継続的に監視すること。
• すべての外部接続にゼロトラストアアクセス原則を適用すること。
• ベンダーに厳格なソフトウェアサプライチェーンの透明性と整合性の要件を満たすよう求めること。
• ベンダー契約にサイバーセキュリティの期待を組み込むこと。
• その分野の他の企業と脅威インテリジェンスを交換すること。

Trellixは、「組織はOTセキュリティへの投資を優先し、産業システムの独自の運用要件を考慮した多層防御戦略を実施しなければならない」と締めくくっています。「日和見主義的な攻撃から安全システムに対する標的型キャンペーンへの進化は、人命の損失や広範な経済的混乱につながる可能性のある壊滅的なインシデントを防ぐために、即座の注意を必要とする。」

---

元記事: https://www.cybersecuritydive.com/news/operational-technology-cyberattacks-trellix/805693/