重要インフラを狙う攻撃 だが十分な備えができていない

電気、水道、ガス、鉄道、通信など社会を支える重要インフラはどの程度安全なのだろうか。サイバー攻撃を十分防ぐことができるのだろうか。

[Matthew Parsons, Brian Knudtson, Alex Reid，Cybersecurity Dive]

　サイバー攻撃は重要インフラであっても停止させてしまう。このような攻撃に対して、現在の防衛水準はどの程度まで高くなったのだろうか。

増え続けるランサムウェア攻撃

　ランサムウェア攻撃が最も集中している米国の事例からいくつか学べることがある。

　11:11 Systemsのマシュー・パーソンズ氏（マネージドサービス・プロダクトマネジメント担当のシニアディレクター）と同社のブライアン・ヌッドソン氏（プロダクトマーケット・インテリジェンス担当のディレクター）、同社のアレックス・リード氏（プロダクトアーキテクト）は「Cybersecurity Dive」に次のような寄稿を寄せた（注1）。

　米国におけるインフラ攻撃の最大の事例は、コロニアルパイプライン事件だ。米国最大級の石油パイプラインとして知られており、全長は約8850kmもある。

　IFM Investorsが所有する米国最大級の石油パイプライン「コロニアルパイプライン」の全長は約8850キロもあり、これは青森市と鹿児島市の間を高速道路で2往復してもさらに余るという規模だ。

　2021年5月、攻撃者は不正に取得したパスワードを利用して約100GBのデータを盗み出し、コロニアルパイプラインのITネットワークにウイルスを感染させた。パイプラインの停止によりガソリンやディーゼル燃料、ジェット燃料の輸送が止まり、テキサス州からニューヨーク州に至る数百万の企業や消費者、旅行者が影響を被った。

　この事件は連邦議員に大きな衝撃を与え、このような国家安全保障上の脅威が二度と起こらないようにするために次々と政策が打ち出された（注2）。国土安全保障省（DHS）はパイプラインを対象とした初のサイバーセキュリティ規制を発表し、米国の政府機関ではソフトウェアの部品表（SBOM）を掲示することが義務となった（注3）。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はゼロトラストのガイドラインを強化し（注4）、フレームワークを改善した。そして、国家サイバーセキュリディー戦略では、セキュリティに関する責任の所在を変更しようとしている（注5）。

政府の対策はうまく働いたのか

　政府が下した対策にもかかわらず、2022年にはランサムウェアの事件が増加し、重要インフラに関連する機関だけでも870件の攻撃が記録された。2023年3月にはランサムウェア攻撃の記録が更新されてしまった（注6）。現在、バイデン政権は2024年度のサイバー関連費用として260億ドルを求めている（注7）。

　コロニアルパイプラインの事件から2年が経過した今も、将来に起こるであろう攻撃を阻止するために十分な対策が講じられていないのが現状だ。

　今後、政府による新たなガイドラインの制定も可能だろう。だが重要インフラに関わる組織は攻撃の影響を軽減するためにもっと積極的でなければならない。現在、それが十分に行われていないためだ。どのように積極的に変化しなければならないのだろうか。

レガシーなハードウェアとシステムをアップデートする

　古いハードウェアとソフトウェアを使い続けている組織は既知の脆弱（ぜいじゃく）性にさらされて、ランサムウェア攻撃のターゲットになりやすくなる。この事実を知りながらも、組織は脆弱性に対応したパッチの適用や従来のツールのアップデートをしていない。その結果、2022年には標的型攻撃が倍増した（注8）。

古いタイプの攻撃を無効にできる

　「Spotlight Report 2023 RANSOMWARE」によると（注9）、2022年のランサムウェア攻撃の76％が2010年から2019年に公表された既知の脆弱性に関連していた。つまり古いタイプの攻撃を防ぐことができていない。悪用された既知の脆弱性に関するCISAのカタログには866件がリストアップされている（注10）。

　しかしながら、ランサムウェアに関連する131の既知の脆弱性がいまだに記録に加えられていないことも同じレポートによって明らかにされている。

　攻撃者は手口をたえず巧妙に改善できる以上、システムのアップデートは一度しただけでは不十分であり、定期的に実施する必要がある。米国立標準技術研究所（NIST）のサイバーセキュリティフレームワークやCISAのゼロトラストに関する成熟度を測るモデルが周知する最良のプラクティスに沿って、定期的に全てのIT環境を分析すべきだ（注11）。

　また、新たなリスクを継続的に特定するために全ての関係者が分析する脆弱性テストを実施すべきだろう。

多要素認証を取り入れよう

　基本的な多要素認証（MFA）も有効だ。コロニアルパイプライン事件当時にもしMFAを導入していれば、攻撃の発端となったVPNパスワードの漏えいによるランサムウェア攻撃を防ぐことができた。MFAはシンプルで効果的な対策だ。

　しかし、現在、何らかの形でMFAを使用している企業は3分の1以下である（注12）。

最大の弱点は「人」

　システムそのものをハッキングするよりも、人を攻撃する方が簡単だ。最良のサイバー対策を知っている人々は少ない。彼らの知識を悪用して機密情報にアクセスする方が簡単であり、攻撃者はこれをよく知っている。

　ランサムウェア攻撃において、人的要素は引き続き主な要因となっており、 Verizonによると（注13）、全ての侵害の82％がフィッシングやスミッシング、その他のエラーによる人為的なものだという。

　ヒューマンエラーによる侵害のリスクを軽減する最善の方法は、基本的なセキュリティ対策のベストプラクティスに基づいたユーザートレーニングを定期的に実施することだ。

　しかし、それだけがランサムウェア攻撃に対する防御策ではない。一つのミスでシステムがダウンすることがないように、人間の失敗に対処できるようにソフトウェアシステムの準備を固めておこう。NISTとCISAのガイドラインにおける全ての要素を備えたゼロトラストフレームワークの導入も良いアイデアだ。

事前に攻撃の対処法を知っておこう

　攻撃者は金銭的な利益を得るために企業を標的にすることが多い。だが、重要なインフラに関連する機関を標的にした場合、国家安全保障上のリスクも加わる。

　そのため、攻撃されたときに何をすべきか、いつすべきかを従業員が理解できるように企業は徹底した対応策をあらかじめ講じておく必要がある。事業継続と災害復旧の要素を含む強固なインシデント対応計画を導入し、企業のリーダーが広く理解しているそれ以外のデータ復旧方法も組み込むべきだ。

　計画を立案しておしまいにしてはいけない。定期的に再評価して、さらに定期的にテストされるべきだ。

　いざというとき、情報漏えいや攻撃を開示するタイミングも重要だ。不必要なパニックを引き起こしたり情報の安全性を損なったりすることなく、適切に開示すべきだ。

　ステークホルダーや一般市民とどのようにコミュニケーションをとるのかを含めて、企業は明確な計画を立てておく必要がある。

油断は重大な損失をもたらす

　過去2年間において重要インフのセキュリティ強化に多くの取り組みが加わった。だが、私たちは常に改善できる。特に、ハッキングされると国家安全保障に関わる恐れがある企業では継続的な警戒が重要だ。

　重要インフラに関連する組織は、自社や顧客のデータが流出しないようにセキュリティ体制を継続的に評価する必要がある。

　技術の更新を定期的に確認し、NISTやCISAが推奨するフレームワークのベストプラクティスを継続して順守して、脆弱性評価を実施し、ユーザートレーニングを計画して、サイバーセキュリティの意識を維持しよう。

　政府の方針に従うだけでなく、企業はさらに一歩進んで、常に先を見越した状態であり続ける必要がある。現在、十分なITチームが存在しないために、コロニアルパイプライン事件のような致命的な攻撃を受ける危険性が高い組織はまだまだ残っている。

出典：Is cybersecurity doing enough to prevent the next Colonial Pipeline attack?（Cybersecurity Dive）

注1：RETHINK CONNECTED（11:11 SYSTEMS）

注2：Cybersecurity（Homeland Security）

注3：Why The US Government Is Mandating Software Bill Of Materials (SBOM)（ActiveState）

注4：Zero Trust Maturity Model（CISA Central）

注5：White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）

注6：March 2023 broke ransomware attack records with 459 incidents（BLEEPINGCOMPUTER）

注7：Biden Administration Seeks $26B in Cyber Funding for FY 2024（nextgov）

注8：Targeted ransomware doubled in 2022, new techniques and groups emerge（kaspersky）

注9：SPOTLIGHT REPORT 2023RANSOMWARE（securin）

注10：Known Exploited Vulnerabilities Catalog（CISA.gov）

注11：Zero Trust Architecture（nvlpubs.nist.gov）

注12：State of Global Enterprise Authentication Survey（yubico）

注13：Get your free copy of this report.（verizon）