インフラ運用環境を狙ったランサムウェアが"かなり確実に台頭する" - 米Palo Alto Networks2017年セキュリティ予想

2017 Cybersecurity Predictions: Successful Ransomware Attack Causes Critical Infrastructure Downtime

インフラ運用環境を狙うランサムウェアの出現

Supervisory control and data acquisition(SCADA)やIndustrial Control Systems(ICS)といった産業分野におけるセキュリティを分析する米Palo Alto NetworksのDel Rodillas氏は、サイバーセキュリティ界の動向を見ていると、いくつかの嵐が迫っているように見えると2017年の動向を公式ブログで予測している。

マルウェア「Mirai」によるIoTデバイスを悪用した大規模なDDoS攻撃など、2016年後半には、より大規模かつ大胆な攻撃が可能になることが露呈しているが、インフラ運用環境を狙ったランサムウェアが2017年には大きく浮上してくるだろうと同氏は予測している。

端末の自由を奪い身代金を要求するランサムウェア。より効率的な金銭奪取がランサムウェアの進化であるとするならば、当然インフラを狙ったランサムウェアが進化の行き着く先となる。多人数に大きな影響があるインフラを人質に取れば、金額も被害のリスクに合わせて当然高くなっていくからだ。

Del Rodillas氏は、"かなり確実な2017年の予想"として重要インフラの運用環境をターゲットにしたランサムウェア攻撃の成功を予測している。同氏は2016年に起きた実際のいくつかの例を挙げている。2016年9月にはコンクリート製造企業がランサムウェアに狙われたことが発覚。攻撃は成功し、長時間にわたるダウンタイムをはじめとした財務的損失が出ているとという。また、イスラエルの電力企業がセキュリティ侵害にあったことも報告している。多数の組織や企業とやりとりするグリッドではないが、ローカルで電力グリッドを運用していたという。電力制御の奪取は、製造工程をはじめ企業活動に大きな打撃が想定されるため、注意が必要になるだろう。

もっとも懸念される出来事として、市町村が所有する電気、水道などの公益事業のセキュリティ侵害を挙げている。攻撃者は運用技術(OT)に結びついているビジネスネットワークへの攻撃に成功しているという。また、2016年7月に主要なICS自動化製品のサプライヤー(Rockwell Automationの「Allen-Bradley」)の名前を付けたZipファイルの形式で現れた産業用制御システム(ICS)専用のランサムウェアの登場も明確な意図を示すとし、被害の有無を別として、ICSオペレーターそのものに対するインパクトは多大だったことを述べている。多数の人々を支える電力グリッドや輸送・交通システムといった主要な需要インフラ環境を狙った攻撃が成功を収めるのは、時間の問題だとして、このような事態が現実に起こると業界は目を覚まし、どのようにICS環境を保護するのかに急いで取り組むことが必要だと指摘している。

米国における運輸向け規制の必要性

また、米国におけるサイバーセキュリティ関連の法的動向に関して、運輸向けの新しいサイバー法や規制が出てくるとDel Rodillas氏は予想している。

米国では、電子業界向けのNERC CIP(北米電力信頼性評議情報インフラ保護サイバーセキュリティ基準)、CFATS(化学施設のテロ対策基準)、NRC(米原子力規制委員会)が定める原子力発電向けの法など、重要インフラ保護を目的としたサイバーセキュリティ法はすでにあるが、運輸業界はサイバーセキュリティの法律がまだ敷かれておらず、重要性に比して遅れがある。同氏は"確実性が低い長期的予想"として米国内の運輸向けの規制を予測に挙げている。

運輸とは米国土安全保障省の管理下にある、航空(空港、航空機材、航空管制システムなどを含む)、マス向けの運輸・旅客鉄道、高速道路と自動車輸送業者、海上輸送システム、パイプラインシステム、鉄道貨物、郵便など広範にわたる範囲となるが、2013年に起こった主要空港の入国管理システムを狙ったサイバー攻撃は、フライトの遅れを招き、旅客は長時間待たなければならなかった。同じく2013年、米国の75の空港をターゲットにしたフィッシングを含むAPT攻撃(高度で持続的な標的型攻撃)が展開。2016年には、サイバー攻撃との関連性はないものの主要な航空会社でシステム障害が起き、5時間にわたる障害は、1億5000万ドルの損失を招いていることを例示している。運輸の重要性はいうまでもなく、主要な運輸サービスに障害が発生した場合被害は多大になる。広範囲な影響は、ランサムウェアでの犯罪に見合う対価を作り出すため、長期的であっても立法による対策が必要になる。

Del Rodillas氏は、ランサムウェアについては、残念ながらOT部門の多くが高度な攻撃への準備が不足しているという印象があるため、今後ITとOTがより密に統合することで企業は攻撃者が何をしているのかを知り、サイバーセキュリティのベストプラクティスと技術という点での最先端の技術について常に情報を収集する必要があるとしている。また、運輸業界をはじめ現在規制の対象となっていない重要インフラの運用者は、将来のサイバーセキュリティ法に向けた準備をする必要がある。同時に"規制に遵守することが安全対策だと思わないようにすること"も重要であることを述べている。