Tripwireはこのほど、「The Unique Cybersecurity Risks in the Manufacturing Sector|Tripwire」において、製造業の深刻なサイバーセキュリティ環境の現状について伝えた。

2024年、製造業は4年連続でサイバー攻撃の標的第1位となり、インシデントの約26%を占めている。同社はレガシーシステムを手放せない業界の問題点を指摘し、サイバー犯罪者が大規模にランサムウェアを展開しているとして注意を喚起している。

  • The Unique Cybersecurity Risks in the Manufacturing Sector|Tripwire

    The Unique Cybersecurity Risks in the Manufacturing Sector|Tripwire

製造業特有の問題点

Tripwireは製造業に次の3つの特有の問題点があると述べ、これらが他の業界に比べてサイバー攻撃に脆弱な原因だと指摘している。

レガシーシステムとパッチ未適用のインフラへの依存

製造業は他のどの業界よりも古いテクノロジーに依存している。産業用制御システム(ICS: Industrial Control System)や運用・制御技術(OT: Operational Technology)のインフラストラクチャに数十年前のものを利用しているケースもあり、セキュリティはないも同然の状態にある。

製造業は機械、生産ラインの管理、安全設備などの不可欠な要素で構成されている。これら設備をアップデートするには、アップデート費用に加え生産の一時停止などによる高額な損失を受け入れる必要があり、多くの企業はアップデートに消極的にならざるを得ない。

ITネットワークとOTネットワークの分離の限界

従来の製造業ではOTネットワークをITネットワークから分離する運用が行われていた。物理的にインターネットから設備を切り離すことで、レガシーシステムで支えられている現場をサイバー攻撃から保護していた。

ところが近年、リアルタイムデータ分析、リモート監視、統合サプライチェーンが求められるようになり、これらネットワークの統合が進んでいる。その結果、ITネットワーク(事務用コンピュータなど)への侵害がそのままOTネットワークおよび設備に影響するようになってきている。

ダウンタイムの影響が大きい

製造業はダウンタイムの影響が他の業界よりも大きく、時には危険を伴うこともある。シーメンスのレポートによると、大型機械を停止させた場合のコストは非常に大きく、多額の損失を生むという(参考:「The True Cost of an Hour’s Downtime: An Industry Analysis by Emily Johnson on Siemens Blog」)。

そのため、サイバー攻撃を受けた場合の損失も必然的に高く、また安全装置への攻撃では従業員の身を危険にさらす可能性もある。攻撃者はこれら事情を把握しているとみられ、製造業に対するランサムウェア攻撃の身代金は他の業界よりも高額とされる。

初期の侵害経路

製造業を標的とするサイバー攻撃では次の経路が初期の侵害経路として多く見られるとして、Tripwireは優先して対策するように推奨している。

フィッシングとソーシャルエンジニアリング

フィッシングとソーシャルエンジニアリングは業界を問わず、常に上位に位置する攻撃手法と言える。製造業の従業員、特に管理職や運用スタッフはセキュリティ知識に乏しいことが多く、ウィークポイントとなっている。

レガシーシステムの脆弱性とパッチの未適用

前述の通り、製造業はレガシーシステムとパッチ未適用のインフラに依存する傾向にある。これらの存在は攻撃者の侵入を容易にする。

侵害されたインダストリアルIoTデバイス

インダストリアルIoT(IIoT: Industrial Internet of Things)デバイスは生産性の向上に大きく貢献する。しかしながら、同時に攻撃対象領域を拡大させるというデメリットも持ち合わせており、脆弱性や設定ミスが原因で侵害されることがある。

内部犯およびサプライチェーン攻撃

製造業は多くの従業員、協力企業により成り立っている。その1カ所に穴があれば、そこから攻撃者は侵入してくる可能性がある。Tripwireによると2018年、テスラの元従業員は同社に不満を抱き、社内データを流出させたという(参考:「Tesla Data Theft Case Illustrates the Danger of the Insider Threat | Fortra's Digital Guardian」)。

リモートアクセスの脆弱性

製造業では保守および監視のためにリモートアクセスツールを使用することがある。これらツールに脆弱性が存在する場合やアカウント情報が流出した場合、攻撃者の侵入を許すことになる。

業界特有の問題には業界標準の対策を

これら侵害経路の対策も重要だが、標準規格とコンプライアンスの遵守も重要な役割を果たすとして、Tripwireは次の標準規格への対応も推奨している。

  • NIST SP 1800-10 - 製造業向けのサイバーセキュリティガイドライン
  • IEC 62443 - 産業用自動制御システム(IACS: Industrial Automation Control System)のサイバーセキュリティに関する国際標準規格
  • ISO/IEC 27001 - 情報セキュリティマネジメントシステム(ISMS: Information Security Management System)に関する国際規格

製造業は攻撃の難易度が比較的低く、多額の利益が見込めることから魅力的な標的となっている。4年連続1位の汚名を返上するためにも、業界一丸となってセキュリティ対策を実践することが望まれている。