連邦捜査局(FBI)およびサイバーセキュリティ・インフラセキュリティ庁(CISA)が最近発表したガイダンスは、OT環境に対する差し迫った、かつ刻々と変化する脅威を浮き彫りにしている。両機関は共同アドバイザリーにおいて、イランと関連する脅威アクターが、上下水道システム、エネルギー、政府施設など、米国の重要インフラ分野全体において、インターネットに接続されたPLC(プログラマブル・ロジック・コントローラ)を積極的に悪用していると警告した。 この勧告(AA26-097A)は、業界関係者の多くが以前から疑っていたが、現在では実際のインシデントとして確認されているある傾向を浮き彫りにしている。すなわち、これらの攻撃者はもはや、産業環境に影響を与えるためにソフトウェアの脆弱性やゼロデイ攻撃に依存していないということだ。その代わりに、正当なアクセス経路、ネイティブな産業用プロトコル、および標準的なエンジニアリングツールを活用して、制御システムと直接やり取りを行っている。
脆弱性ではなく、制御経路の公開
OT環境にとっての主なリスクは、パッチが適用されていない脆弱性ではなく、制御経路の露出にある。脆弱性の特定、システムのパッチ適用、悪意のある動作の監視といった従来の対策は依然として重要だが、最新のアドバイザリが明らかにしているように、攻撃者がOT環境に侵入できれば、その内部で活動することが可能になる。
複数の事例において、攻撃者は44818、2222、102、502などの標準的な産業用通信ポートを使用して、インターネットに接続されたPLCに直接接続することに成功した。攻撃者は、広く普及しているエンジニアリングソフトウェアを用いて、これらのデバイスと有効なセッションを確立し、あたかも権限のあるオペレーターであるかのように操作を行った。
「到達可能」と「脆弱」という区別は、根本的な転換点である。問題はもはや、システムが脆弱かどうかだけではなく、到達可能かどうかという点にある。制御システムがネットワーク経由でアクセス可能であれば、操作することもできる。そして、操作が可能であれば、機能停止に追い込むこともできる。
現代のOT攻撃の手口
このアドバイザリで説明されている攻撃の手口は、極めて単純な流れをたどっています:
- 初期アクセス:PLCやOTシステムが、直接、あるいはVPNやジャンプホストなどのリモートアクセス経路を介して、外部ネットワークにさらされること
- 正当な手段による通信:その後、攻撃者はStudio 5000 Logix Designerなどの正規のエンジニアリングツールを使用して、デバイスへの接続を開始します。エンジニアリングワークステーション、ベンダーツール、またはネイティブプロトコル(Modbus、EtherNet/IPなど)の使用
- 実行:
- 制御ロジックの変更
- プロジェクトファイルのアップロード/ダウンロード
- 物理プロセスへのコマンドの発行
- 影響:業務の混乱、安全上のリスク、および潜在的な経済的損失
この手法が効果的なのは、従来の多くのセキュリティ対策を回避できる点にある。プロトコルやツールのレベルでは、検知を引き起こすような本質的に「悪意のある」要素は存在しない。
従来の制御方法ではもはや不十分である
今日のOT環境の多くは、ファイアウォール、VPN、セグメンテーション戦略、およびリモートアクセス制御を組み合わせて運用されています。これらは必要不可欠な措置ではありますが、固有の限界があります:
- ファイアウォールは、適切な設定とルール管理に依存しており、設計上、必要なプロトコルは許可されるようになっています。
- VPNやリモートアクセスは、認証情報の完全性に依存しています
- 検知・監視システムは、接続が確立された後に動作します
CISAが指摘したシナリオでは、攻撃者は従来の意味での制御を回避する必要はありませんでした。彼らは単に、すでに存在していたアクセス権を利用しただけでした。
そのため、本勧告では、不必要なリスクへの曝露を排除し、ネットワークのセグメンテーションを強化することの重要性を強く強調しています。
セグメンテーションと決定論的分離の組み合わせ
セグメンテーションはかねてより推奨されるベストプラクティスですが、すべてのセグメンテーションが同等の効果を持つわけではありません。
ソフトウェアやポリシーによって実施される論理的なセグメンテーションは、リスクを軽減することはできるものの、完全に排除することはできません。設定ミス、認証情報の漏洩、あるいは間接的なアクセス経路によって、IT環境とOT環境の間に意図しない接続が生じる可能性は依然として残っています。
リスクの高い環境において必要とされるのは、決定論的な隔離である。
一方向通信による攻撃経路の遮断
より確実な方法は、外部からのアクセスを完全に遮断することです。
データダイオードは、ネットワーク間のハードウェアベースの一方向通信を実現します。これにより、監視、分析、またはコンプライアンスの目的で運用データが制御環境から外部へ流出することを可能にすると同時に、いかなるデータ、コマンド、または接続も内部へ逆流することを技術的に不可能にします。
CISAが指摘した攻撃パターンの文脈において、これは直接的な影響を及ぼします:
- PLCにはリモートコマンドが届かない
- 外部ネットワークからは、いかなるエンジニアリングツールも接続できません
- 制御環境には、マルウェアや不正なトラフィックが侵入することはありません
これは、悪意のある活動を検知したり阻止したりすることではありません。その経路を完全に断つことなのです。
CISAの推奨事項に沿う
CISAの対策ガイダンスでは、以下の3つの主要な措置が強調されています:
- OT資産をインターネットへの直接的な露出から遮断する
- ITネットワークとOTネットワークの分離を強化する
- リモートアクセスの制限と管理
一方向通信アーキテクチャは、上流のネットワークが侵害された場合でも、重要な制御システムへのアクセスが不可能となるよう保証することで、これらの推奨事項をより高い保証レベルで実現します。
OT Securityの再考:防御から設計へ
勧告AA26-097Aでは、防御上の前提条件は、それらが対処する脅威に合わせて進化させなければならないと論じている。攻撃者がもはや脆弱性を悪用する必要がなくなった場合、検知と防止のみに焦点を当てるだけでは不十分である。優先順位を、リスクのカテゴリー全体を排除するアーキテクチャ上の対策へと移行させなければならない。OTシステムを外部ネットワークからアクセス不能にすることは、そのような対策の一つである。
セキュリティを最優先する
CISAの最新の勧告は、組織がもはや無視できない現実を浮き彫りにしている:
- OT環境において、露出はリスクに等しい
- 攻撃者が正当なアクセス権やネイティブ機能を悪用するケースが増える中、最も効果的な防御策は、監視体制の強化やポリシーの厳格化にとどまらず、不要な接続を完全に排除することにある。
- 「設計上、外部からアクセスできないようにOT環境を構築すること」は、もはや理論上のベストプラクティスにとどまりません。これは、運用レジリエンスを確保するための実務上の要件となりつつあります。
