サイバー攻撃が狙う「製造業」×「オープンソース」、防御は十分なのか

「Apache Log4j」を狙った攻撃は政府や大手IT企業の危機感を高めた。2023年に至っても対策が不十分な状態にある。現在は製造業、特に産業用制御システムが危険なのだという。オープンソースソフトウェアのセキュリティ対応が問題になっている。

[David Jones，Cybersecurity Dive]

　米国政府関係者と大手IT企業から成るJCDC（Joint Cyber Defense Collaborative）が掲げる2023年のサイバーセキュリティのテーマは、脆弱（ぜいじゃく）な産業と市民社会に対するリスクだ（注1）。

　JCDCは2023年1月26日、2つのリスクを評価する予定だと発表した（注2）。産業用制御システムにおけるオープンソースソフトウェア（OSS）の使用リスクと、エネルギーと水のインフラ部門のリスクだ。

なぜOSSを取り上げるのか

　業界固有のリスクに取り組むことはもちろん、JCDCは2023年、重要インフラ技術におけるより脆弱な部分の強化も望んでいる。どのような部分だろうか。

　「全ての組織がサイバー攻撃のリスクにさらされている一方で、エコシステムの特定の要素が攻撃者によって悪用され、広範囲に影響を及ぼす可能性があることが分かった」（サイバーセキュリティー・インフラストラクチャセキュリティー庁《CISA》のエリック・ゴールドスタイン氏《サイバーセキュリティ担当エグゼクティブアシスタントディレクター》）

　JCDCはもともとランサムウェア対策やクラウドサービスプロバイダーに対する攻撃への対応強化を目的に、官民の連携を強化するために2021年に結成された（注3）。JCDCは「Apache Log4j」への対応や、ロシアのウクライナ侵攻に対する「Shields Up」（一時的な厳戒態勢）の開発において重要な役割を果たしてきた（注4）。

　JCDCは今後数週間のうちに、産業システムのOSSへの対応や、中小の重要インフラプロバイダーにおけるレジリエンス強化の取り組みを計画する予定だとゴールドスタイン氏は述べた。

　中小の重要インフラ事業者のサイバーセキュリティを向上させ、リスクを低減することも目指す。JCDCはマネージドサービスプロバイダーやマネージドセキュリティサービスプロバイダー、リモートモニタリングやリモート管理を提供する企業などと連携して取り組む。

いまだに怖いLog4j

　今回の発表は2021年12月に初めて公開されたLog4jの脆弱性と「SolarWinds攻撃」後のサプライチェーン攻撃の増加のために、OSSセキュリティに対して連邦政府の関心が高まっていることが背景にある。

　ロシアがウクライナに侵攻して以来、ICSのセキュリティが注目されている。国家関連の攻撃者が、過去1年間に幾つかの主要産業を対象にデータを消去したり破壊したりするワイパー攻撃などを目的に破壊的なマルウェアを使用したからだ。

　OpenSSF（Open Source Security Foundation）のブライアン・ベーレンドルフ氏（ジェネラルマネジャー）は、OSSに最初に焦点を当てたことに謝意を表しながらも、焦点がICS（Industrial Control System：製造業における重要なインフラを支持するためのネットワーク接続性を備えたハードウェアとソフトウェアの統合）にとどまることに疑問を呈した。

　「OSSは産業用制御システムに限らず多くの分野で幅広く利用されており、それらの分野の多くは共通の基盤ソフトウェア（Linuxカーネルなど）を共有することになるため、ICSだけに重点を置いた発表内容はちょっとした驚きだ」（ベーレンドルフ氏）

出典：CISA’s public-private cyber collaborative to focus on energy, water（Cybersecurity Dive）

注1：2023 JCDC Planning Agenda

注2：JCDC Focused on Persistent Collaboration and Staying Ahead of Cyber Risk in 2023

注3：CISA takes aim at information sharing woes, launches public-private super group（Cybersecurity Dive）

注4：CISA director lauds first-year efforts of public-private cyber collaborative（Cybersecurity Dive）