企業情報セキュリティ
13.Oct.2020
サービス拒否攻撃(DoS)は世界の機器メーカーにチャレンジ をもたらした
IoTの多様な発展はあらゆる分野に明らかなビジネスチャンスをもたらしました。各業界が製品を次々と発表しています。スマート家電やスマートカメラなどの消費者向け製品に加え、産業用制御、医療、通信、交通などの非消費者向け業界も設備を導入しています。このような盛んでる中、最もチャンスを狙っているのはハッカーです。攻撃しにくい物は、インターネットに接続し始めるため、ネット接続デバイスはすべてターゲットになります。
DoS攻撃が重要インフラに与える影響
2019年に米国のsPower電力供給業者は典型的なDoS攻撃をされました。 sPowerは米国最大の民間太陽光発電サプライヤーです。2019年3月、ハッカーは電力システムの既知の脆弱性を利用し、12時間の攻撃を繰り返し、操作人員と12箇所の発電所間の通信を中断しました。その結果、10箇所以上の風力発電所と太陽光発電所は一時的に供電できませんでした[1]。
重要インフラへの頻繁な攻撃を考え、米国政府も情報セキュリティインシデントに大きな注意を払っています。そのため、米国会計検査院(Government Accountability Office, GAO)は米国議会から依頼を受け、2019年8月に公開した重要インフラ保護対策の中に、連邦電力ネットワークのセキュリティ戦略を提案した。その中に、エネルギー省(DOE)が電力ネットワークのセキュリティリスクを評価する程度を定義し、米国連邦エネルギー規制委員会(FERC)が承認したネットワークセキュリティ標準が電力ネットワークのセキュリティリスクに対処する際にリスクを解決できる程度も評価します。米国会計検査院はさまざまな攻撃も詳細に定義しています。国、犯罪グループ、テロリストなど電力ネットワークを脅かす可能性を定義します。DoS攻撃は、テロ攻撃として見られています。[2]
IoTによってもたらされた利便性により、接続デバイスが消費生活用製品から国のインフラストラクチャにまで拡大しました。米国の多くの地域のメーターボックス(水道メーター、電気メーター、ガスメーター)は、インターネット接続を備えたスマートメーターに置き換えられました。台湾も数年前からスマートグリッドの構築を始まり、ユーザーのエネルギー使用量情報を迅速に取得し、エネルギー使用量を正確に推定し、料金を請求できます。従来の電気メーターは、インターネット接続を備えたスマートメーターに徐々に置き換えられています。しかし、IoTがもたらした利便性はハッカーがエネルギー会社のインフラストラクチャに攻撃を仕掛ける弱点になりました。頻繁な攻撃の中で、機器をダウンさせることを目的としたDoS攻撃に事欠きません。 消費生活用製品の安全性が不十分なために発生した攻撃の場合、消費者が一時的に製品を使用できなくなる可能性があります。発電や給水設備への攻撃の場合、エネルギー会社は顧客の情報を把握できません。深刻な場合、大規模な停電、断水、または国家の安全を揺るがす災害につながる可能性があります。
2018年に、ドイツのアウグスブルク大学とベルリン自由大学が発表した論文「You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks」にて、プログラマブル・ロジック・コントローラ(Programmable Logic Controller, PLC)にフラッド攻撃が行うと、産業用制御設備の物理的制御プロセスの中断または失敗を引き起こし、サービス拒否(DoS)攻撃の効果を達成する可能性があります。ICS-CERTは2019年12月12日にPLCサイクルタイムの影響を引き起こす可能性のある、このタイプの攻撃手法に関するレポートを発行しました。「リモート攻撃」と「低技術要件」の特性を備えているため、この脆弱性はCVE-2019-10953の脆弱性として分類され、CVSSv3スコアは7.5ポイントであり、高リスクの脆弱性として分類されます(CVSSベクトルはAV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H)、影響をされるデバイスは、ABB、Phoenix Contact、Schneider Electric、Siemens、WAGOが含まれます。[3][4]
製造業においても、台湾は近年スマート製造を積極的に推進しながら、工業設備をインターネットに接続され、完全な生産履歴を提供して、製品の歩留まり率を向上させることを奨励しています。過去では、工場側の設備がネット接続してないため、情報セキュリティの概念は非常に弱かったです。工場の安全保護が現代の保護機制に対応できない場合、DoS攻撃をされやすく、生産ラインが停止される可能性が高く、製造業や関連するサプライチェーンに甚大な被害をもたらします。したがって、一刻も早く産業用制御設備のセキュリティを高めて、DoS攻撃のリスクを低減しなければなりません。
Onward Securityの「HERCULES SecDevice IoT機器の脆弱性検査ツール」は、ネット接続製品のテスト環境の構成とセキュリティ評価などの自動化機能を提供します。120個を超えたテスト項目で、開発プロセス中に製品が既知と未知の脆弱性の検出を役に立ちます。シミュレーション機能でDoS攻撃のテスト項目により、製品はテストプロセス中にデータリンク層(Data Link Layer)からトランスポート層(Transport Layer)プロトコルへのDoS攻撃をシミュレートでき、製品メーカーが適したサービス拒否攻撃の効果を再現でき、セキュリティの強度もテストできます。「HERCULES SecFlow 製品情報セキュリティ管理システム」により、開発チームはソフトウェアの設計と開発段階で使用されるサードパーティのオープンソースパッケージにライセンスの問題や重大な情報セキュリティ脆弱性があるかどうかを確認できます。開発プロセスでセキュリティを確認し、改善します。製品の安全性と規制要件への準拠により、情報セキュリティのリスクが軽減されます。
References:
[1] First-of-a-kind U.S. grid cyberattack hit wind,solar ,
https://www.eenews.net/stories/1061421301
[2] CRITICAL INFRASTRUCTURE PROTECTION, Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid,
https://www.gao.gov/assets/710/701079.pdf
[3] You Snooze, You Lose: Measuring PLC Cycle Times under Attacks, Hochschule Augsburg, Augsburg, Germany & Freie Universitat Berlin, Berlin, Germany, https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf
[4] ICS Advisory (ICSA-19-106-03) PLC Cycle Time Influences (Update A), https://us-cert.cisa.gov/ics/advisories/ICSA-19-106-03
[5]Most ICS vulnerabilities disclosed this year can be exploited remotely,
https://www.helpnetsecurity.com/2020/08/20/ics-vulnerabilities-exploited-remotely/
[6] Threat Landscape for Industrial Automation Systems in H2 2018,
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h2-2018/90041/
[7] Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components, https://webstore.iec.ch/publication/34421
重要インフラへの頻繁な攻撃を考え、米国政府も情報セキュリティインシデントに大きな注意を払っています。そのため、米国会計検査院(Government Accountability Office, GAO)は米国議会から依頼を受け、2019年8月に公開した重要インフラ保護対策の中に、連邦電力ネットワークのセキュリティ戦略を提案した。その中に、エネルギー省(DOE)が電力ネットワークのセキュリティリスクを評価する程度を定義し、米国連邦エネルギー規制委員会(FERC)が承認したネットワークセキュリティ標準が電力ネットワークのセキュリティリスクに対処する際にリスクを解決できる程度も評価します。米国会計検査院はさまざまな攻撃も詳細に定義しています。国、犯罪グループ、テロリストなど電力ネットワークを脅かす可能性を定義します。DoS攻撃は、テロ攻撃として見られています。[2]
DoS攻撃は産業用制御設備に及ぼす被害
調査によると、産業用制御システム(ICS)の既知の脆弱性の70%はリモートで悪用される可能性があり、その中の49%はリモートコード実行(RCE)の脆弱性を使用して産業用制御システムにハッキングされます。その後DoS攻撃を実行される比率は39%です[5]。一方、2018年にカスペルスキーの統計調査でも、産業用制御システムの脆弱性のほとんどは重大なリスクレベルです。サービス拒否(DoS)攻撃を引き起こす可能性もあり、攻撃の成功率は50%とみられます。[6]2018年に、ドイツのアウグスブルク大学とベルリン自由大学が発表した論文「You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks」にて、プログラマブル・ロジック・コントローラ(Programmable Logic Controller, PLC)にフラッド攻撃が行うと、産業用制御設備の物理的制御プロセスの中断または失敗を引き起こし、サービス拒否(DoS)攻撃の効果を達成する可能性があります。ICS-CERTは2019年12月12日にPLCサイクルタイムの影響を引き起こす可能性のある、このタイプの攻撃手法に関するレポートを発行しました。「リモート攻撃」と「低技術要件」の特性を備えているため、この脆弱性はCVE-2019-10953の脆弱性として分類され、CVSSv3スコアは7.5ポイントであり、高リスクの脆弱性として分類されます(CVSSベクトルはAV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H)、影響をされるデバイスは、ABB、Phoenix Contact、Schneider Electric、Siemens、WAGOが含まれます。[3][4]
製造業においても、台湾は近年スマート製造を積極的に推進しながら、工業設備をインターネットに接続され、完全な生産履歴を提供して、製品の歩留まり率を向上させることを奨励しています。過去では、工場側の設備がネット接続してないため、情報セキュリティの概念は非常に弱かったです。工場の安全保護が現代の保護機制に対応できない場合、DoS攻撃をされやすく、生産ラインが停止される可能性が高く、製造業や関連するサプライチェーンに甚大な被害をもたらします。したがって、一刻も早く産業用制御設備のセキュリティを高めて、DoS攻撃のリスクを低減しなければなりません。
IoTセキュリティの規制要件
IoTデバイスのセキュリティ問題は徐々に高まっており、デバイスメーカーにデバイス自体のセキュリティの向上を求める国が増えています。たとえば、米国は2016年11月にIoTを保護するためのIoTセキュリティの戦略的原則を発表しました(Strategic Principles for Securing the Internet of Things)。産業用制御の分野では、産業用自動化と制御システム(IACS)も産業制御セキュリティのネットワークセキュリティ標準があります。2019年2月27日、国際電気機器安全規格適合性試験制度(IECEE)は、産業用自動化と制御システムのセキュリティに関する4-2(IEC 62443-4-2:2019)をリリースし、資源の可用性を基本要件の7番目の項目としてリストしました( Fundamental Requirement No.7 : Resource Availability)。コンポーネントは7.1項目のサービス拒否攻撃(Component Requirement 7.1 : Denial of Service Protection)の保護を必須としています。これは、産業用制御設備がサービス拒否攻撃を受けた時に、影響を与えられながら、コンポーネントは基本機能を維持できるように策定しています。したがって、機器メーカーは、開発プロセス中にサービス拒否攻撃に対する製品の耐性を検証し、サービス拒否攻撃への保護を向上する必要があります。[7]DoS攻撃に対する機器メーカーの対応
ネット接続の利便性とセキュリティをどのように兼ね備えるかは、企業にとって常に注目をされています。接続デバイスのメーカーにとって、IoT製品のセキュリティをどのように向上するかは新たな課題です。ただし、IoT情報セキュリティへの対応する方法はあります。まず、基準を満たす製品開発プロセスを確立し、各段階でセキュリティ設計の優先順位で導入し、Secure by Designの概念を確実に行います。テスト段階で、自動化ツールを使用して、セキュリティテストを検出できます。製品が市場に出る前に情報セキュリティのリスクを減します。Onward Securityの「HERCULES SecDevice IoT機器の脆弱性検査ツール」は、ネット接続製品のテスト環境の構成とセキュリティ評価などの自動化機能を提供します。120個を超えたテスト項目で、開発プロセス中に製品が既知と未知の脆弱性の検出を役に立ちます。シミュレーション機能でDoS攻撃のテスト項目により、製品はテストプロセス中にデータリンク層(Data Link Layer)からトランスポート層(Transport Layer)プロトコルへのDoS攻撃をシミュレートでき、製品メーカーが適したサービス拒否攻撃の効果を再現でき、セキュリティの強度もテストできます。「HERCULES SecFlow 製品情報セキュリティ管理システム」により、開発チームはソフトウェアの設計と開発段階で使用されるサードパーティのオープンソースパッケージにライセンスの問題や重大な情報セキュリティ脆弱性があるかどうかを確認できます。開発プロセスでセキュリティを確認し、改善します。製品の安全性と規制要件への準拠により、情報セキュリティのリスクが軽減されます。
References:
[1] First-of-a-kind U.S. grid cyberattack hit wind,solar ,
https://www.eenews.net/stories/1061421301
[2] CRITICAL INFRASTRUCTURE PROTECTION, Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid,
https://www.gao.gov/assets/710/701079.pdf
[3] You Snooze, You Lose: Measuring PLC Cycle Times under Attacks, Hochschule Augsburg, Augsburg, Germany & Freie Universitat Berlin, Berlin, Germany, https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf
[4] ICS Advisory (ICSA-19-106-03) PLC Cycle Time Influences (Update A), https://us-cert.cisa.gov/ics/advisories/ICSA-19-106-03
[5]Most ICS vulnerabilities disclosed this year can be exploited remotely,
https://www.helpnetsecurity.com/2020/08/20/ics-vulnerabilities-exploited-remotely/
[6] Threat Landscape for Industrial Automation Systems in H2 2018,
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h2-2018/90041/
[7] Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components, https://webstore.iec.ch/publication/34421