米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月28日(米国時間)、「Exploitation of Unitronics PLCs used in Water and Wastewater Systems|CISA」において、同国の上下水道システム(WWS: Water and Wastewater Systems)で使用されるUnitronics製プログラマブルロジックコントローラ(PLC: Programmable Logic Controller)が攻撃を受けたとして、注意を喚起した。
-
Exploitation of Unitronics PLCs used in Water and Wastewater Systems|CISA
2023年11月27日(米国時間)にWater ISACが公開した情報「(TLP:CLEAR) Water Utility Control System Cyber Incident Advisory: ICS/SCADA Incident at Municipal Water Authority of Aliquippa | WaterISAC」によると、攻撃を受けたのはペンシルベニア州西部のアリクイッパ市水道局だという。この攻撃はイランの支援を受けているとされる脅威グループ「Cyber Av3ngers」によるもので、2つの郡区に水道サービスを提供する遠隔ブースタステーションが被害を受けたものとみられている。
CISAによると、この攻撃の影響を受けた水道局は直ちにシステムをオフラインにし、手動操作に切り替えたという。このため、飲料水や給水に問題はないとしている。米国の上下水道システムの施設ではPLCを使用して、水と廃水処理のさまざまなプロセスを制御および監視している。
今回の攻撃では脆弱なパスワードが設定され、かつインターネットに接続されたUnitronics VisionシリーズのPLCが不正アクセスの被害にあったとみられている。CISAは同様の攻撃から施設を保護するために、同製品を利用している管理者に次のような対策を推奨している。
- Unitronics製PLCのデフォルトのパスワードを変更する。デフォルトの「1111」は使用しない
- ITネットワークや外部ネットワークのものを含め、OTネットワークへのすべてのリモートアクセスに多要素認証(MFA: Multi-Factor Authentication)を要求する
- PLCをインターネットから切断する。リモートアクセスが必要な場合は、インターネットとの接続点にファイアウォールと仮想プライベートネットワーク(VPN: Virtual Private Network)を設置する。PLCが多要素認証をサポートしていない場合においても、仮想プライベートネットワークまたはゲートウェイデバイスにて多要素認証を有効にすることが可能
- Unitronics製PLCのロジックと構成をバックアップする。ランサムウェア攻撃を受けた場合に備え、システムを工場出荷状態にリセットする方法や、ロジックと構成を復旧する手順を訓練しておく
- 可能であればデフォルトポート(TCP 20256)とは異なるTCPポートを使用する
- PLC/HMIをUnitronicsが提供する最新バージョンにアップデートする
産業用制御システム(ICS: Industrial Control System)やOTネットワークは近年の産業を支える上で重要な役割を果たしているが、同時に脅威グループの標的となっている。Cyber Av3ngersのような脅威グループは経済的な影響、スパイ活動、知的財産の窃取、地政学的な動機などを理由にサイバー攻撃を行うとされる。
Cyber Av3ngersは11月26日、「すべてのイスラエル製品はCyber Av3ngersの法的ターゲットだ」とTelegram上で声明を発表している。このような特定の目的を持った脅威グループからシステムを保護するために、同様の機器を運用する管理者にはICSおよびOTネットワークを保護するためのベストプラクティスの実践が望まれている。
