この数年の間に、米国の重要なインフラが何度かサイバー攻撃の標的となりました。危険にさらされたのは、配電網、石油パイプライン、水道システムです。しかし、こうした攻撃に対し、国全体として有効な対策が講じられることはありませんでした。その結果、石油・天然ガスインフラを保護できず、今年の前半には米国の広い地域で燃料不足が発生する事態となりました。これを受け、連邦政府は、重要な石油・天然ガスインフラの保護と同業界におけるランサムウェア攻撃への対策に重点を置いた措置を講じました。石油・天然ガス企業は、プロアクティブで包括的なセキュリティにより、自社と保有する重要インフラを保護できるということを知っておく必要があります。
2021 年 5 月、石油パイプライン企業の Colonial Pipeline 社がサービスとしてのランサムウェア(RaaS)である DarkSide による攻撃を受けました。パイプラインが操業を停止したほか、石油の輸送も一時的に停止せざるを得なくなりました。同社は米国の東海岸における石油輸送の 45% を担っているため、深刻な事態だと言えます。同社の運用・制御技術(OT)ネットワーク内の産業用制御システム(ICS)には直接の影響はありませんでした。しかし、同社は東海岸に不可欠な石油製品を効果的に輸送することができなくなり、燃料の供給が 1 週間遅れることになりました。これにより、米国の南東部ではガソリンの買い占めが起きて燃料不足が発生しました。南東部全域のガソリンスタンドでは燃料の供給が大幅に減少し、たとえば 5 月 13 日には、ノースカロライナ州だけで州内のガソリンスタンドの 71% がガソリン切れになったと報告されています。
それは、石油インフラの脆弱性に対する明確な警告でした。以下で説明するように、こうした攻撃は新しいものではありません。2018 年と 2019 年には、石油・天然ガスインフラ企業がサイバー攻撃を受けています。しかし、政府や政策には当時反応がほとんど見られませんでした。
米国の石油・天然ガスインフラに対する攻撃の歴史
ガスや石油の掘削と流通プロセス(アップストリーム、ミッドストリーム、ダウンストリーム)に携わる石油・天然ガス企業とサードパーティの供給業者は、長年にわたりサイバー攻撃の標的になってきました。Colonial Pipeline 社に対する攻撃は、珍しくもなければ特に新しいものでもありません。ただしこれまでの攻撃とは大きく違う点もあります。影響が大きかった点と、過去にも同様の攻撃があったことを示唆することになった点です。
Energy Services Group(ESG)は、特に天然ガスの輸送と流通向けに、企業がサービスを購入して履行するための電子データ交換(EDI)サービスを提供しています。2018 年、ESG のサービスがマルウェア攻撃の直接的な被害を受けたため、企業各社は冗長なプロセスを使用するか、手動で業務を行わざるを得なくなりました。操業には直接の影響はありませんでしたが、ESG がこれらの企業でサードパーティへの接続の中心点として使用されていた場合、被害ははるかに大きいものとなった可能性があります。
2019 年、米国海上保安庁は、ある天然ガス圧縮工場の IT ネットワークと OT ネットワークで発生したランサムウェア「Ryuk」の攻撃に関する報告書を発表しました。事件発生後、OT デバイスの可視性と可用性が失われました。CISA によれば、基盤となる Windows オペレーティングシステムが原因となり、ヒューマン マシン インターフェイス(HMI)、データヒストリアン、ポーリングサーバのすべてが影響を受けました。同社は暗号化されたシステムを交換し、正常起動時の構成をインストールして対処しましたが、30 時間にわたって停止することになりました。
上記の 2 件の事件は、OT に影響を与えることを特に意図したわけではないサイバー攻撃によって石油・天然ガス企業が被害を受けた例です。Colonial Pipeline 社が受けた攻撃と極似しており、攻撃がどれほど深刻なものだったかがよくわかります。
このような事態になった経緯
この事態を招いたのは、一言でいえば「コンバージェンス」です。念のために説明しておくと、産業用 OT ネットワークと情報技術(IT)ネットワークのプロセスとインフラが統合されたこと、または統合されつつあることを意味するために、この言葉がよく使用されます。OT ネットワークと IT ネットワークでは、大量のテクノロジーが共通して使われています。ルータ、スイッチ、無線、オペレーティングシステム、アーキテクチャは、従来の IT ネットワークとほぼ変わりません。理論的には、攻撃対象領域を最小限に抑えるため、2 つのネットワークの間には物理的にエアギャップが設けられており、論理的にセグメント化されています。つまりアーキテクチャの概念上は、OT ネットワークと IT ネットワークは独立していることになっています。ですが、これは幻想です。厳しい現実に目を向けると、IT と OT は統合されています。
いつ統合されたかについては判断が難しいところです。後には引き返せない「コンバージェンスへの道」へと私たちが一斉に歩み出した時期がわかる明確なデータやしきい値は残念ながら存在しません。しかし、そうすることになった理由は簡単に理解できます。2000 年代以降、IT サービスが OT 環境に有機的に入り込んだ結果、OT ネットワークから IT ネットワークにデータと制御を移行できるようになりました。OT と IT の統合がもたらす効率性に企業が注目するのは当然のことです。今日では、OT ネットワークは IT ネットワークに大きく依存しています。ネットワーク設計の不備やセキュリティに対する不注意によってこうしたコンバージェンスが発生したと考えるのは簡単でしょう。しかし、ビジネスの必須条件を満たして競争力を維持するために、OT と IT を統合する必要があったというのが本当のところです。Norsk Hydro 社および Colonial Pipeline 社で発生したランサムウェア攻撃では、IT が受けた攻撃により OT が影響を受けました。ロジスティクスから請求、データ分析に至るまで、IT と OT のシステムは相互に支え合っており、日々の運用に欠かせません。どちらかに問題が発生すれば、もう一方にも影響が出るのです。
石油・天然ガス企業を狙った攻撃に対する政府の関心の高まり
従来は、米国内の石油・天然ガス企業が攻撃を受けても特別な措置は講じられてきませんでした。しかし、Colonial Pipeline 社を標的とした攻撃以来、ランサムウェア攻撃に関して組織がどのように報告・対応し、被害を軽減すべきかについて政府の関心が高まり、新たな政策が打ち出されるようになりました。
Colonial Pipeline 社に対する攻撃の約 1 週間後の 5 月 12 日、バイデン政権は、重要インフラを狙った攻撃に関する対応とセキュリティを改善するために、特定のセキュリティ対策を義務付ける大統領令に署名しました。内容は多要素認証(MFA)の実装やデータの暗号化などで、必ずしも重要インフラや石油・天然ガスに特化したものではありません。ただ、重要インフラのセキュリティポスチャの向上に向けた段階的な改善措置が講じられたことになります。そのすぐ後の 5 月 27 日にも、また別の政策が打ち出されています。米国国土安全保障省(DHS)と運輸保安局(TSA)が、重要なパイプライン事業者と所有者向けのサイバーセキュリティ要件を発表しました。サイバーセキュリティ インシデントの発生が確認されるか発生の可能性があると考えられる場合、DHS のサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)に報告するよう要求するものです。この措置は、パイプライン業界におけるサイバーセキュリティの取り組みを管理するものです。こうした措置を講じても、Colonial Pipeline 社の事件と同様の攻撃が将来発生すること自体は防げないかもしれません。しかし、政府の関心が高まり新たな政策が打ち出されたということは、変化の必要性が認識されているということです。現政権はまた、ランサムウェアの被害者の報告を改善するとともにパイプライン事業者の免除やルールの作成を進めるため、連邦検察官は新しいガイドラインを遵守する必要があると強調しています。
問題は、DHS、CISA、TSA、エネルギー省(DOE)など、複数の政府機関がパイプライン事業者に関する規制を制定しようとしている点です。これでは、事業者が各機関の標準規格に対応しにくくなる可能性があります。2010 年当時、電力業界は同様の問題を抱えていました。原子力発電所に関して、北米電力信頼度協議会(NERC)と原子力規制委員会(NRC)がそれぞれに出した規制が錯綜していたのです。この問題は、分野によって管轄する機関を分け、工場は NRC、工場以外はすべて NERC が管轄する形に整理したことで解決しました。電力各社が必要なコンプライアンス対策を把握できるようになったのです。パイプラインのセキュリティについても、同様の対応が必要です。入り乱れる複数機関への報告は、非生産性的な結果に陥りかねません。
米国司法省(DOJ)による最近の発表では、ランサムウェアの優先度の高さが強調されています。これは正しい方向に進む第一歩ですが、社会全体としてランサムウェアに対応するにはさらなるアプローチが必要です。ランサムウェアグループを解体することを最終的な目標として掲げる Ransomware Task Force などの団体が、いくつかのアプローチを提案しています。同タスクフォースは、この数か月で 48 の提言を打ち出しました。政府機関によるランサムウェアの優先順位付け、ランサムウェア攻撃者の阻止、ランサムウェア攻撃に関する情報の共有、対応と復旧計画の確立などを行う方法が盛り込まれています。
今こそ自社を守るための行動を
石油・天然ガス企業にとっての最優先事項は、迅速かつ安全な復旧です。重要なサービスを停止するのは、設備や人員にリスクがある場合のみに限定すべきです。場合によっては、環境内を動き回る攻撃者の影響を抑えるための措置が顧客にも悪影響を及ぼし、予期せぬ結果を招く可能性があります。事業を継続しつつ迅速に復旧させるためには、プロアクティブに実施すべきプロセスがいくつかあります。
OT 拠点を持つ企業は、IT と OT で共通利用している部分を把握するため、プロセス分析を計画して実行する必要があります。Norsk Hydro 社と Colonial Pipeline 社の事件で見たように、IT の領域でインシデントや障害が発生した場合、OT にその後どのような影響が及ぶかを理解することが重要です。インシデント発生時に対応と復元を行ううえで必須となるのは、企業の「重要資産」の把握です。これは、セグメンテーション、バックアップ戦略、ディザスタリカバリ、そして最も重要な点である業務の遂行といった検討課題に関して決定を下すのに役立つはずです。
ランサムウェアなどの脅威に対しては、IT と OT の両方を網羅した復旧計画と入門書が必要です。こうした計画とテクノロジーがディザスタリカバリ(DR)シナリオで使用されている企業は、迅速かつクリーンな状態で復旧できます。バックアップシステムも利用できない状況では、オフラインのバックアップ、つまり「コールドストレージ」によるバックアップが必要となります。OT 拠点を持つすべての企業が自問すべき問いを、以下に挙げておきます。
IT と OT の共通部分は?
- OT は IT から分断されても稼働できるか?
- IT システムの復旧にはどのくらい時間がかかるか?OT システムの復旧にかかる時間は?
- IT のインシデント対応計画はあるか?計画が存在する場合、OT の対応計画も存在するか?
- OT 環境を可視化できているか?可視化できていない場合、起こり得るサイバーインシデントにどのように対応するか?
- インシデントに社内では対応しきれない場合の連絡先は?政府か、サードパーティか、他の企業か?
- IT ネットワークと OT ネットワークは適切にセグメント化されていて、両者の間を通過するトラフィックは適切に分析・制御されているか?
緊急事態の発生時やインシデント対応サービスが必要となった場合には、Cisco Talos Incident Response をご利用いただけます。プロアクティブな対応や緊急時の対応はお任せください。
本稿は 2021 年 06 月 15 日に Talos Group のブログに投稿された「What’s past is prologue – A new world of critical infrastructure security」の抄訳です。