APT37に関する最近の情報分析では、多くの組織が、その逆を示す証拠があるにもかかわらず、依然としてエアギャップネットワークを「侵入不可能なもの」と見なしているという重大な実態が浮き彫りになった。攻撃者は、ネットワーク経由の侵入経路を遮断されると、物理的な経路へと矛先を転じる。産業、防衛、重要インフラの環境においては、その経路はほぼ例外なくリムーバブルメディアである。
ファームウェアの更新、ログの抽出、ベンダーによるメンテナンス、エンジニアリング用ファイルの転送といった作業において、USB 依然として不可欠です。APT37による悪意のあるLNKショートカットファイルの展開は、技術的な複雑さを最小限に抑えつつ、運用面での影響を最大化するために、この攻撃対象領域がいかに活用されるかを示す典型的な事例と言えます。
LNKファイルが隔離環境にとって重大な脅威となる理由
LNKファイルは、Windows独自のショートカットです。その外観は正規のフォルダやドキュメントと見分けがつかないため、攻撃者はこの点を意図的に悪用しようとします。
一見無害に見えるが、悪用されたLNKファイルは以下のことを行う可能性がある:
- PowerShell やその他のネイティブシステムインタプリタの起動
- リムーバブルデバイスに保存された隠しスクリプトの実行
- 外部接続を必要とせずにペイロードを実行およびトリガーする
- 信頼性の高いオペレーティングシステムのユーティリティを活用して、検知を回避する
これらの実行経路はいずれも、ネットワークへのアクセス、ユーザーによるマクロの承認、あるいは独立したマルウェアバイナリの存在を必要としません。これにより、ショートカット自体が脅威の伝播手段となり、エアギャップ環境において重大な影響を及ぼす可能性があります。例えば、オペレーターがUSB 挿入し、一見すると通常の技術文書に見えるファイルをダブルクリックするだけで、直ちにアラームが鳴ることもなく、ローカル環境内で静かに侵害が開始されます。
リムーバブルMedia に関する実情
根本的な問題は、USB 存在にあるわけではありません。その利用に関するガバナンスが欠如していることにあります。多くのOT環境において、現状には重大な管理上のギャップが見られます:
- リムーバブルメディアは、事前の検査なしに、生産およびエンジニアリング用ワークステーションに直接挿入されます
- ファイルは、内容の検査を一切行わずに開かれます
- どのデータが、いつ、誰によって転送されたのかについて、一元的に把握する手段がない
- LNK、EXE、スクリプトファイルなど、実行可能なファイル形式に関するポリシーが設定されていないか、あるいは一貫して適用されていない
高度な脅威アクターは、運用上の慣行によって障害のない経路が提供されている場合、技術的な防御策を突破する必要はありません。これこそが、APT37と、積極的に脆弱性を悪用する類似のアクターとの違いです。
OTセキュリティにおいて最も危険な思い込みは、「物理的な隔離=保護」であるという考え方です。私が関わってきたあらゆる重要インフラ環境において、リムーバブルメディアは運用上不可欠であり、その必要性こそが、まさに攻撃者が狙っている点なのです。USB 検査をすり抜け、エンジニアリング用ワークステーションに到達してしまった時点で、もはやそれはネットワークの問題ではなくなります。そこで直面するのは、その結果に他なりません。
USB Kiosk が重要な管理手段Kiosk 理由
USB 本番環境の資産に挿入された後にエンドポイント検知に頼ることは、事後対応的な姿勢です。OT環境において、事後対応的なアプローチでは、侵害の封じ込めを行うには手遅れになってしまいます。運用上最も適切なアプローチは、リムーバブルメディアが本番システムに到達する前に、コンテンツ検査を実施することです。
USB キオスクは、外部環境とOT/ICSネットワーク境界の間に、管理された必須のチェックポイントを設けるソリューションです。リムーバブルメディアは使用前に専用の検査ステーションで処理されるため、各デバイスは以下の検査を受けます:
- 複数のスキャンエンジンを用いたマルウェアスキャンにより、既知の脅威を検出します
- ファイル内のアクティブコンテンツを無害化するためのファイル内容の無害化および再構築
- 承認されていない形式のファイルが環境内に持ち込まれるのを防ぐためのファイル形式ポリシーの適用
- メディア自体の完全性を評価するためのデバイスレベル検査
- すべての転送について完全な管理履歴を維持するための包括的な監査ログ
このアーキテクチャは、検査プロセスを本番システムから物理的に分離し、高リスクなコンテンツが運用資産に到達する前に確実に無害化されるようにします。
キオスク端末がLNKベースの攻撃チェーンをどのように直接的に軽減するか
適切に構成されたスキャンキオスクのワークフローでは、LNKファイルや同様の実行可能なアーティファクトは、デフォルトで高リスクなオブジェクトとして扱われます。運用上、これは以下のことを意味します:
- ショートカットファイルとスクリプトファイルは、検査段階で自動的にブロックされます
- 承認されたファイル形式からは、実行可能コンテンツが削除されます
- ファイル内に埋め込まれた不審なコマンド構造を特定し、無力化する
- OT環境へ渡すことが許可されるのは、明示的に許可されたファイル形式のみです
攻撃者がLNKファイル内に悪意のあるペイロードを埋め込んだ場合、USB エンジニアリング用ワークステーションに到達する前に、そのファイルは遮断され、対処されます。組織のポリシーでショートカットファイルが完全に禁止されている場合、それらはキオスク端末でフィルタリングされ、攻撃の連鎖が開始される前に遮断されます。
物理的境界の確保
エアギャップは、物理層で制御が徹底された場合に、最大のセキュリティ保証を発揮します。USB キオスクは、組織に以下のメリットをもたらします:
- 分散した施設や事業拠点全体でのポリシーの一元的な適用
- 一貫した制御の適用により、個々のユーザーの判断への依存度を低減する
- すべてのリムーバブルメディアの操作状況を完全に可視化
- 規制および業界の枠組みへの準拠に向けた、監査対応可能な文書
- エンジニアリング用ワークステーション、安全システム、およびその他の重大な影響を及ぼす資産に対するリスクの低減
これは、単一のエンドポイントが侵害されるだけで、その影響が拡大し、業務の継続性、従業員の安全、あるいは電力網の信頼性に悪影響を及ぼす可能性がある環境において、特に重要です。
導入前の検査は、ベストプラクティスというわけではありません。しかし、ギャップを埋める唯一の方法なのです。
OPSWAT Secure 重要インフラSecure どのようにOPSWAT
エアギャップ環境が侵害されるのは、ネットワークに接続されているからではありません。デフォルトでリムーバブルメディアが信頼されていることが原因です。重要インフラを標的とした高度な攻撃が横行する中、このデフォルトの前提は、組織にとってもはや許容できないリスクとなっています。業務ワークフローにリムーバブルメディアが組み込まれている場合、OPSWAT「周辺機器およびMedia ソリューションは、この脆弱性を解消する多層的な制御機能を提供します。
MetaDefender Kiosk™:Secure Media 侵入時点でSecure
USB攻撃経路から防御するためには、 MetaDefender Kiosk は、物理的なスキャンステーションとして機能し、組織の資産を保護します。実績のある業界をリードするソリューションや技術と連携し、データが重要な環境に入る前にデータをクリーンアップします。MetaDefender File Transfer™ (MFT) やMetaDefender Media などのソリューションと組み合わせることで、MetaDefender Kiosk さらなる防御層Kiosk 、安全なファイル転送をサポートし、スキャンポリシーを適用することができます。
MetaDefender Endpoint™:実行前保護とデバイス制御
MetaDefender Endpoint は、エンドポイントのセキュリティを強化し、重要な環境における周辺機器やリムーバブルメディアを保護します。リムーバブルメディアデバイスを積極的に検知・ブロックし、徹底的なスキャンとクリーンな状態の確認が完了するまで、システムへのアクセスを許可しません。
防御の追加レイヤーとしてのMedia 検証
OPSWAT 、メディアの検証やスキャンおよびサニタイゼーションポリシーの適用を通じて、多層防御戦略を支援し、多層的な保護を実現するための追加ソリューションOPSWAT 。
MetaDefender Media Firewall は、リムーバブルメディアを介して侵入する脅威から重要なホストシステムを保護するための、使いやすいハードウェアソリューションです。MetaDefender Kiosk 連携してOT環境内の物理層Kiosk 機能し、スキャンされていないリムーバブルメディアが侵入ポイントをすり抜けることを確実に防ぎます。
MetaDefender Validationは、エンドポイントにインストールされる軽量なツールであり、MetaDefender Kiosk スキャンされたファイルのみが、エンドポイント上で開いたり、コピーしたり、選択したり、アクセスKiosk するためのチェックポイントとして機能します。
業界をリードする技術
Kiosk MetaDefender Endpoint Kiosk 30以上のマルウェア対策エンジンを活用して99.2%のマルウェア検出率を実現するMultiscanning、実績があり世界的に信頼されている技術Endpoint 。また、Deep CDR™テクノロジーを採用し、ファイルの機能を損なうことなく、悪意のあるコンテンツをプロアクティブに除去します。 リムーバブルメディア上の既知のソフトウェアの脆弱性を特定するための脆弱性評価の実施や、堅牢な機密データ漏洩防止機能に加え、両ソリューションは、周辺機器やリムーバブルメディアによる脅威からIT/OTネットワークを保護する、多層的な防御機能を提供します。
経営層向け要点
APT37は、ネットワークセキュリティのアーキテクチャを突破してエアギャップによる隔離を無効化したわけではない。彼らは、組織の管理範囲内に完全に含まれるオペレーティングシステムの機能とリムーバブルメディアの取り扱い手順を悪用したのだ。
この課題に対処するためには、業務ワークフローにリムーバブルメディアが含まれている場合、実行がエンドポイントに到達する前に予防措置を講じる必要があります。ほとんどのOT/ICS環境では、リムーバブルメディアが使用されています。したがって、ネットワーク境界の制御と同様に、厳格な管理を行う必要があります:
- 導入前の確認:事前のスクリーニングを経ずに、いかなるデバイスも本番システムに導入してはならない
- 転送前の記録:メディアとのあらゆるやり取りについて、監査可能な記録を作成すべきである
- アクセス前に是正措置を講じる:リスクは事後的に検知するのではなく、境界で無力化しなければならない
OPSWAT 、リムーバブルメディアや周辺機器を介した脅威が重要な環境に到達する前にこれを無力化するお手伝いをどのようにOPSWAT 、ぜひ今すぐ専門家にご相談ください。
