Nozomi Networks Labsは、新しいセキュリティ調査レポートをリリースしました。
このブログでは、レポートの概要を紹介します。
このレポートは、過去6ヶ月間のOT/IoTサイバーセキュリティインシデントの傾向分析と、Nozomi Networks製品の導入で得られた実際のテレメトリデータに関して言及しています。また、ICSの脆弱性、IoTハニーポットからのデータ、OT環境からの攻撃統計に基づいた調査結果にフォーカスを当てています。
Nozomi Networks Labsの新しいOT/IoT セキュリティレポートでは、これまでの2023年の脅威と脆弱性の状況がレビューされています
脅威の状況の傾向
OT/IoTサイバーインシデントは、日和見的・標的型・偶発的の3つカテゴリに分けられます。
過去6か月間に公表されたサイバー攻撃を見ると、日和見的攻撃(※)が最も蔓延しており、ネットワークドメインやターゲットシステムに関係なく、DDoS攻撃などを介してトラフィックをフラッディングし続けていることが判明しました。DDoS攻撃の他には、初期アクセスにおける脆弱性を突いた攻撃や、トライ&エラーを繰り返すマルウェアなどが挙げられます。
※日和見的攻撃:ターゲットを絞らない攻撃であり、標的型攻撃と対称的なもの。
標的型攻撃は、念入りに調べられた特定の組織・場所に対して仕掛けられる攻撃です。また攻撃者は、システムの更なる侵害をし続けるために、セキュリティを回避しつつシステム内にビルトインとして常駐する攻撃ツールを活用しようとします。
偶発的攻撃は、人的ミスやOT/IoTに影響を与えない範囲の攻撃などです。これは全てが公表されているわけではありませんが、依然としてかなり一般的なものとなっています。企業のミッションとビジネス上の意思決定において、相互運用性が高ければ高いほど、偶発的攻撃による被害は大きくなるでしょう。
今年の初め以来、様々な脅威アクターによるサイバー攻撃が続いて確認されており、その中でも、常駐技術を展開するランサムウェアが主なものになっています。これらの技術は、簡単にアクセスでき、検出を回避でき、適応性が高く、更に自動化もされています。特に、製造・エネルギー・医療・水道業界が影響を受けており、政府や都市サービスも中断されています。ランサムウェアに加えて、分散型サービス拒否 (DDoS) 攻撃や、新種のMiraiボットネットも出現しました。この期間に起きたインシデントのうち、少なくとも3件は、産業用制御システムが直接の被害を受けています。これらを受け、米国の国家サイバーセキュリティ戦略及びその実施計画、EUのNIS2指令、オーストラリアの重要インフラ安全保障法など、世界中の政府がサイバーセキュリティ法の整備と重要インフラ政策の強化に取り組んでいます。
2023年上半期の注目すべきサイバーイベントのタイムライン
実際のOT/IoT環境からの発見
世界中の様々な業界のOT/IoT環境から収集されたテレメトリデータに基づいて、「水処理施設における大量のネットワークスキャン」「建材業界における平文パスワード」「産業分野におけるプログラム転送」「石油ガスネットワークにおけるOTプロトコルパケットインジェクション」などのアクティビティを、確認しています。
認証情報の不適切な管理に関係するアクティビティが、重要なアラートとして2年連続トップを占めていましたが、過去6か月間を見ると22%減少しています。そして、マルウェア特有のDoS攻撃が、OTシステムに対する最も多い攻撃の1つとなっています。これに、侵害されたマシンの制御を確立するために攻撃者が多く使用するリモートアクセス型トロイの木馬(RAT)が続きます。DDoS攻撃は、IoTネットワークにおける最大の脅威です。脅威アクターが、デフォルトの認証情報を使用してチェーン化されているIoTデバイスにアクセスしようとするため、悪意のあるIoTボットネットは今も動き続けています。
トロイの木馬とDualuseは、OT/IoT環境全体で多く検出されています。ランサムウェアは、企業IT全体でよく検出されるマルウェアであり、世界中のビジネス運営に大きな損害を与えています。クロスドメインマルウェアを分析する場合、フィッシングアラートは複数のドメインに該当する最も蔓延している脅威アクティビティであり、一般に機密情報を盗み、初期アクセスを確立するために使用され、場合によってはターゲットを感染させるためにマルウェアを展開します。
最も発生するアラートは業界によって異なります。例えば水処理施設では、許可されたスキャンや脅威アクターの調査に関連する一般的なネットワークスキャンのアラートが多く発生します。一方石油ガス業界では、OTプロトコルパケットインジェクションに関連したアラートが多く発生する可能性が高いです。これには、正しいプロトコルメッセージが間違ったシーケンスで送信される、間違ったコンテキストに正しいプロトコルパケットが挿入されることなどが含まれます。また全体として、不十分な認証情報の管理、平文パスワード識別、TCPフラッドなどのアラートは、業界に関わらず多く発生しています。
ICSの脆弱性
CISAおよびNVDで報告されているように、OT/ICSマシンおよびデバイスには数千もの脆弱性が依然として存在し続けています。脅威アクターは、世界中の企業ITやOT/IoTネットワークについて徹底的に調査しており、TTPsの能力と洗練度が増しています。彼らは、ネットワーク通信、ハードウェア、ソフトウェア、サプライチェーン、ベンダーアクセス管理などへの侵入口を探し続けています。ITへの攻撃によって、OTシステムに侵入しなくとも、OTネットワークとプロセスが妨害される可能性があります。
レポートによると、2023年までに発見されたOT/IoTデバイスの脆弱性の数は依然として多く、ほとんどが悪用されやすいものであると考えられています。製造・エネルギー・水道業界は最も脆弱な業界です。また過去6カ月間で、食品・農業・化学業界は、運送・ヘルスケア業界に代わってトップ5に入っています。
2023年上半期のトピック:
- CISAが641件のCVEを公開
- 62ものベンダーが脆弱性の影響を受けている
- 境界外読み取り、境界外書き込みの脆弱性は上位のCWEとして存在しており、どちらもバッファオーバーフロー攻撃などの攻撃に対して脆弱である
IoTハニーポットからのデータ
Nozomi Networksの分散型IoTハニーポットでは、毎日数百~数千もの攻撃者IPアドレスが目撃されています。認証情報を盗聴した後に使われるコマンドは、一般的なものであり、シェルや管理ターミナルの権限を取得するために使われています。その他興味深いものとして、攻撃者が「信頼された鍵」のリストに追加するハードコードされたSSH公開鍵を特徴とするものもあります。信頼された鍵はアクセスを維持するために使用され、侵害されたマシンにSSH経由で接続することができます。
2023年1月~6月にかけて、Nozomi Networksのハニーポットによって判明したもの:
- 毎日平均813件の攻撃があり、攻撃が最も多かったのは5月1日の1,342件である
- 上位の攻撃者のIPアドレスは、中国、米国、韓国、台湾、インドに関係している
- ブルートフォース攻撃は、認証情報取得の一般的な手法である。特にデフォルトの認証情報は、脅威アクターがIoTにアクセスできてしまう
まとめ
脅威アクターは、金銭的利益を得るためや企業の混乱を誘うために効果的なサイバー攻撃を追求し続けています。日和見的な攻撃が続いている一方で、ダウンタイムが許されないOT/IoTにとって、洗練された脅威アクティビティは明らかなリスクとなっています。このように、テクノロジーへの依存の増加によって固有のリスクを伴う世界では、自動化レベルの向上、機械学習及びAIの導入が、攻撃者だけでなくサイバー防御者の注目も集めています。
Nozomi Networks Labsは、産業インフラのセキュリティの脅威状況を継続的に追跡することに専念しています。2023年後半に注目すべき点について詳しく知りたい場合は、レポート全文をお読みください。以下の内容が含まれています。
- OT/IoTデバイスで多数の脆弱性が発見され、そのうちのいくつかは重大なものまたは簡単に悪用可能なものである
- ランサムウェアが組織を悩ませ続けている中、ヘルスケア、エネルギー、製造業界は引き続き脅威アクターの標的となっている
- 生成AIはサイバーセキュリティの防御者と攻撃者を支援するために使用されている
- 日和見攻撃には、脆弱性や認証情報の悪用、初期アクセスのフィッシングやDDOS攻撃の試み、トロイの木馬の実行が存在する
調査レポート
|
原文:https://www.nozominetworks.com/blog/new-nozomi-networks-labs-report-august-2023/
- カテゴリ:
- Nozomi Networks