アメリカの電力網に対する脆弱性を突いたサイバー攻撃
セキュリティ事件2020.3.18
北米電力信頼性評議 (North American Electric Reliability Corporation: NERC) は2019年9月4日、Lesson Learned #20190901 を公開し、アメリカの一部の電力網がサイバー攻撃を受けていたことを報告しました。電力網を構成するデバイスの脆弱性が悪用された一例として、その内容を簡単にご紹介します。
ファイアウォールのファームウェアに存在する既知の脆弱性を悪用
インシデントの発生
2019年3月5日、制御センターと発電所の間や発電所の装置間の通信をコントロールするファイアウォールにおいて、5 分未満の通信障害が発生。 この通信障害は、発電には影響しなかったものの、複数の通信障害が異なる発電所において発生したことから、より詳細な調査がなされました。 この調査から、通信障害は各発電所のファイアウォールの再起動が原因と判明。 監視システムはファイアウォールの再起動も通知しており、これらの記録から、10 時間以上にわたり、各ファイアウォールが 5 分未満のオフライン状態となっていたことが明らかになっていました。
インシデントへの対応
その後、ログ解析の結果から、ファイアウォールの再起動は外部の攻撃者による既知の脆弱性の悪用が原因であると判明。 攻撃を受けた電力企業は、サイバーセキュリティインシデント対応計画に基づき、イベント報告手続きを開始しました。 その電力企業は、ファイアウォールの製造元による脆弱性修正アップデートの提案を受け、アップデートの詳細を評価した上で、早急に適用することが適切であると判断しました。 その企業はまず、運用中のシステムには影響を及ぼさない環境下でファームウェアアップデートを適用し、悪影響が無いことを確認した後、発電所において夜間にファームウェアアップデートを適用。 次の日の早朝まで運用環境における通信をモニタリングした後、残り全てのデバイスへファームウェアアップデートを適用しました。
とられた是正措置
ファームウェアの脆弱性の修正後、その企業は、同様のイベントが再び発生する可能性を減らすために、内部プロセスの評価を実施しました。 今回の攻撃で悪用された脆弱性を修正するためのファームウェアアップデートは、攻撃を受ける前に既にリリースされていました。 そのため、ファームウェアアップデートを確認し適用するためのプロセスを見直しました。 その企業は、プロセスの見直しに基づき、ファームウェアアップデートのリリースの確認と更新内容の確認を短いサイクルで実施することを決定しました。 なお、インシデント発生時点で、その企業はファームウェアアップデートに関連するプロセスを改善する内部手順の開発に取り組んでいましたが、その時点では完了してないか、実践されていなかった点は注意する必要があります。 さらにその企業は、オペレーションに必要な最小限の通信のみを許可するように、ファイアウォールのルールを設定しました。
このインシデントによるサービスへの影響は、2019/03/05 9:12 から始まり、2019/03/05 18:57 の復帰により終息しています。 影響を受けた地域は、カリフォルニア州 カーン郡、ロサンゼルス郡、ユタ州 ソルトレイク郡、ワイオミング州 コンヴァース郡、とされています。
脆弱性対策を阻む要因
本件で攻撃を受けたのは電力網ですが、サイバー攻撃に対する防御の基本は脆弱性管理とパッチ管理であり、通常のシステムにおける対策と変わりはありません。 しかしながら、脆弱性・パッチ管理の実行には次のような課題が存在することも確かです。例えば、
- 脆弱性情報の収集に手間がかかる (ソフトウェアベンダ毎に違う方法で脆弱性情報を確認する必要がある)
- 脆弱性の影響を受けるソフトウェアから、どのホストが影響を受けるか特定するのに時間がかかる
- パッチの適用状況の追跡が困難
弊社 SIDfm VM は、これらの課題をお求めやすい費用で解消いたします。
脆弱性からの組織防衛のために
あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。
脆弱性の調査やパッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!
それらを全て実現するサービスがあります。
脆弱性管理ツール「SIDfm VM」について詳しくはこちらから
