TXOne Networksは3月26日、産業用制御システム(OT)に関する脅威動向をまとめた2024年版レポート「OT/ICSサイバーセキュリティレポート 2024 ~進化する脅威とCxOの取り組み~」を発表。併せて、メディアブリーフィングを開催し、同レポートの内容説明を行った。
同レポートの調査はフロスト&サリバンと共同で行っているもの。前回(2023年版)は自動車、製薬、バイオテクノロジー、化学、一般製造、石油、ガス、運輸の7分野のITおよびOTセキュリティ分野の意思決定者405人(対象国は米国、UAE、ドイツ、日本の4か国)を対象として調査が行われたが、今回(2024年版)については、産業分野を「半導体製造」「食品製造」「自動車製造」「製薬」「石油・ガス」の5分野とし、対象国を米国、ドイツ、日本、フランス、サウジアラビア、韓国、台湾、UAEの8か国へと倍増させつつ、意思決定者は合計150人(ただしいずれも2000人以上の従業員を有する企業に所属)と絞る形で行ったという。また、この150人は8か国で均等割りではなく、米国33%、ドイツ20%、日本13%、フランス・サウジアラビア・韓国・台湾・UAEが各7%という割り振り。役職としては、CSO33%、CISO36%、CIO31%(いずれもOTセキュリティ管理の責任者)としている。
主な調査内容として、「OT/ICSのサイバー脅威の現状」「OT/ICSサイバーセキュリティの実態」「規制と標準」「未来のセキュリティ確保」の4つのポイントが掲げられている。
多くのOTでセキュリティインシデントが複数回発生
2024年のOTに対する脅威の状況を聞き取り調査をもとにまとめたところ、全体として36%が過去12か月のうちに複数回のセキュリティインシデントが発生したと回答。1回ならびに、0回だがセキュリティインシデント発生手前まで行ったとする回答を含めると、全体の94%の組織が何らかのOTサイバーセキュリティインシデントを経験したことになるという。特に、半導体製造では40%、石油・ガスでは57%の企業・組織が複数回のサイバーインシデントが発生したとのことで、TXOne Networks Japanのシニアテクニカルエンジニアである本多雅彦氏は「重要産業が狙われていることが分かる」と説明する。
また、ITのセキュリティインシデントがOTに影響を及ぼしたのかどうかについての調査では、98%が影響していると回答しており、ITで起こった影響がOTに波及することが示されたとする。全体としてみると、IT環境を侵入経路としてOT側に入り込んできた(ペネトレーション)攻撃が全体の68%とかなり多いほか、IT側のセキュリティインシデントにより、コントロールが奪われた結果、OT側が被害を受けたというものも30%ほどであったという。
本多氏は2024年のOTのセキュリティインシデントのトピックスの1つとして「OTを狙うAPT攻撃(Advanced Persistent Threat:高度持続的脅威)が増加したこと」を挙げる。その特徴は長期間の潜伏、場合によっては数年間潜伏し、破壊行為を行うのではなく、情報などを密かに盗んでいくというもので、「高度な手法で特定の企業に対する脆弱性を一点突破で入り込む。特定の組織や国家を狙った明確な目的があり、国家の支援を受けた攻撃もあり、今回の調査では34%の回答者が影響を受けたと答えている」とする。特に半導体産業、製薬、自動車分野については、APT攻撃がセキュリティインシデントの種類でトップとなったとする。
OT専用のマルウェアも登場
2024年の代表的なセキュリティインシデントを追いかけてみると、FrostyGoop(BUSTLEBERM)をはじめとするOT環境を狙った専用のマルウェアが一般に認知されるようになったという。FrostyGoopは、ウクライナ西部のある電力会社への攻撃にロシアが使用したとされたことで話題となったが、一方のウクライナのセキュリティ機関と関係のあるハッカーグループ「Blackjack」がFuxnetを使用して、ロシアのインフラ管理企業の産業用センサを無効化したとも言われている。
また、こうしたマルウェアが登場する一方、ランサムウェア攻撃はいまだに多く行われているものの、大企業では対策が進んでおり、OTセキュリティインシデントの頻度という点では、最下位の28%にとどまっている。むしろフィッシングメールや従業員による意図しない情報流出、ソフトウェアの脆弱性といった人間に起因する部分の要因が多く、「世の中のトレンドと大企業の認識に違いが生じている」(同)とする。
ただし、ランサムウェアによる被害額自体は年々増加傾向にある点に注意する必要があると本多氏は指摘する。特に国や地域関係なく製薬・ヘルスケアや一般製造業は狙われているとするほか、アジアでは食品・飲料や電子機器が、北米や欧州では小売業がそれぞれの地域柄か、ターゲットになりやすい状況であることが見えたとする。
加えて、ランサムウェアの攻撃グループにも変化が見られたという。2023年版ではBlackCatが最大の18%、次いでLockBitが17%となっていたが、2024年2月にRansomHubが登場して以降、存在感を高めつつあり、2024年版ではトップの14%(LockBitと同率)まで伸ばしてきたという。本多氏は「RansomHubはBlackCatのエコシステムなどをある意味引き継いだ存在。2重恐喝で、データを暗号化して身代金を取るだけでなく、得たデータを流出させる脅迫を行う手口で、簡単に検知できないような手法を取っており、今後、洗練された攻撃グループになっていくことが予想される」と注意を促す。
OTでは難しい頻繁なパッチ適用
一般公開されている情報セキュリティの欠陥(脆弱性)をデータベース化した「CVE(Common Vulnerabilities and Exposures)」の追加数を年ごとに追いかけると年々増加し続けているが、CVEが割り振られた脆弱性のうち、悪用されたものを示すリストで、米国の政府機関であるCISA(Cybersecurity&Infrastructure Security Agency)が公開している「KVE(Known Exploited Vulnerabilities catalog)」を見ると、その追加数は減少し続けているという。
この背景として調査レポートでは3つの可能性を示している。1つ目はゼロデイ攻撃の増加。つまり、脆弱性が見つかる前、もしくは見つかったとしても対策が見つかる前に攻撃が行われているという考え。この場合、CVEとしては公表されないため、KEVにも追加されることはない。
2つ目は早期のパッチリリース。脆弱性が見つかった時点で即座にパッチが提供されることで、簡単に攻撃が行われなくなったという考え。そして3つ目が脆弱性ターゲットを限定しているという可能性。広範に攻撃を行うのではなく、少ない脆弱性を効率的に狙っていくという方向に向かっていることが考えらえるとする。
特にOT環境では、機械を簡単に止められないため頻繁なパッチ適用は困難で、月1回以上のパッチ適用を行っていると回答したのは全体の15%に過ぎない。本多氏も「OT環境では、パッチが出たからと言って、すぐに適用できないという事実が示されている。深刻なのは食品製造や自動車製造では、頻繁なパッチ適用が行われているのは7%とごく限られた状況が示されたこと」と指摘。そうしたパッチ適用の課題として、パッチ適用のために機械を頻繁に止められないという理由のほかにも、作業人員の不足、パッチテストの不足などが挙げられるという。
その代わり、そうしためったに止められない機械に対する代替策として、監視と侵入検知の強化、つまりモニタリングが多いが、TXOneとしては、それ以上にネットワークセグメンテーションやシステムハードニングのような攻撃される穴をふさぐような補償的な管理策を適用する方が良いのではないかとする提案を行っているという。
世界中で進むOT/ICS防御に向けた規制・標準化の動き
増えるOTに対する攻撃にどう対処していくべきか。国や地域レベルでも、そうした対応を推進するべく規制や標準化に向けた動きが進んでおり、中でも大きな流れとして、EUで「欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)」が発効されたことが挙げられるとするほか、日本でもサイバーセキュリティ基本法が2025年中にも改正されることが見込まれるとする。
特にCRAの要件に違反した場合、1500万ユーロもしくはグローバル年間売上高の2.5%のいずれか高いほうを課徴金として科されることとなるため、欧州でデジタル要素をh組む製品を販売する場合にはしっかりとした対応が必要となってくる。
今後のOTセキュリティの方向性
調査レポートでは、今後12~24か月の間に、どのような新しいサイバーセキュリティ技術やトレンドを採用する予定か? といった質問も実施。そのうち、回答者の48%が「サプライチェーンマネージメント」と回答しており、サプライチェーンセキュリティ管理への注目の高さが浮き彫りとなったとする。
しかし、回答者のうち、すべてのベンダーに対してセキュリティ評価を実施できているのは21%に留まる結果となったほか、66%は重要なベンダーに対しての評価は行っているものの、そのカバレッジには疑問が残る結果となっており、今後、こうした点を乗り越えていく必要があるという。
加えて、61%の回答者は現在のOTセキュリティ対策に満足していると感じているものの、前年にサイバーインシデントを経験するなど、セキュリティ管理責任者の認識と現実のギャップが生じていることも浮き彫りとなっており、本田氏は「このギャップを冷静に見て、対策していく必要がある」と指摘。OTサイバーセキュリティプログラムの実施に際して認識されている主要な課題の多くがリアルタイム運用、セキュリティチームとの連携不足などといった人とプロセスが影響しているものであり、そうしたことも含めて考えていく必要があるとしている。
なお、本田氏はサプライチェーンベンダー評価として自動車製造関連が、ほかの産業分野よりもすべてのベンダーに対する評価を実施している割合が高いことについて、業界全体の関心の高さに加えて、サプライチェーンそれぞれに対して、身の丈にあった対策をするようにガイドラインで示すなど、実際にできるところから取り組むという動きを見せていることを指摘している。