概要
米連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、および欧州サイバー犯罪センター(EC3)は、親ロシアのハクティビストグループによる重要インフラへのサイバー攻撃がエスカレートしていることを警告する共同サイバーセキュリティ勧告を発表しました。この勧告は、米国、欧州、および世界中の重要インフラ部門における運用技術(OT)および産業用制御システム(ICS)を標的とする戦術の変化に焦点を当てています。
戦術の変化と脅威
勧告によると、これらの親ロシアグループによる攻撃は、APT(高度な持続的脅威)アクターと比較して洗練度は低いものの、依然として重大なリスクをもたらします。彼らは、最小限のセキュリティしか施されていないインターネットに接続されたVirtual Network Computing(VNC)接続を悪用し、OT制御デバイスに侵入する日和見主義的な標的選定を行っています。特に、上下水システム、食品・農業、エネルギーなどのセクターが主要な標的となっています。
多くのインシデントは「ハック・アンド・リーク」作戦やウェブサイトの改ざんが主ですが、Human-Machine Interface(HMI)の操作により、限定的な物理的損害を含む運用上の混乱が発生した事例も報告されています。
主要な脅威グループ
勧告では、以下の主要な脅威グループが特定されています。これらのグループは独立したハクティビストを自称していますが、多くはロシア国家と直接的または間接的なつながりを維持していると指摘されています。
- Cyber Army of Russia Reborn (CARR): GRU Unit 74455 (Sandworm)と関連。2022年初頭から活動し、2023年後半にはICS/OT攻撃に拡大。
- NoName057(16): クレムリン関連の「Center for the Study and Network Monitoring of the Youth Environment (CISM)」によって設立。DDoSツール「DDoSia」を使用し、NATO加盟国を標的。CARRと密接に連携。
- Z-Pentest: CARRとNoName057(16)の管理者によって2024年9月に結成。OT侵入と「ハック・アンド・リーク」キャンペーンに特化。
- Sector16: 2025年1月にZ-Pentestの協力により形成された新興グループ。米国のエネルギーインフラ侵害の動画を共有しており、間接的な国家支援を受けている可能性が高い。
技術的分析と手口
技術的な分析によると、これらのグループは主に洗練されていない手法を用いてアクセス権を獲得しています。脅威アクターは、オープンソースのスキャナーを使用して、デフォルトポート(TCP 5900)またはその付近の範囲(5901-5910)でVNCサービスを公開しているIPアドレスを特定します。標的が特定されると、ブルートフォースパスワードスプレディングを用いて脆弱な認証を突破します。
HMIへのアクセスを獲得した後、攻撃者はグラフィカルユーザーインターフェース(GUI)を操作して設定を変更したり、アラームをオフにしたり、デバイスパラメータを変更したりします。侵入の様子はソーシャルメディアで共有され、彼らの親ロシアプロパガンダを拡散するために利用されています。
推奨される対策
CISAとそのパートナーは、重要インフラ組織に対し、直ちに対策を講じるよう強く促しています。主な推奨事項は以下の通りです。
- OT資産のインターネットへの露出を減らす。
- ITネットワークとOTネットワーク間の厳格なネットワークセグメンテーションを実装する。
- すべてのリモートアクセスに対して多要素認証(MFA)を強制する。
- VNCソフトウェアを更新し、すべての制御デバイスのデフォルトパスワードを直ちに変更する。