- Column
- IoTが求めるモノのアイデンティティ管理とOTセキュリティ
DXを背景にIoT/OTシステムのセキュリティリスクが高まる【第3回】
前回は、ヒトのアイデンティティに加え、より重要性が増しているモノのアイデンティティである「マシンアイデンティティ」について、組織において最も一般的な8つのタイプを解説した。今回は、サイバーセキュリティの観点から、IoT(Internet of Things:モノのインターネット)とOT(Operational Technology:制御技術)を取り巻く環境の変化について解説していく。
新しいテクノロジーとイノベーションの融合と、その組織への導入は、従来のビジネスプロセスを見直し、より良いビジネス成果と生活の質の向上を生み出す原動力になっている。
この近代化の取組みの1つが、IoT(Internet of Things:モノのインターネット)だ。テレビ会議から空調システムの管理まで、あらゆる面で組織を支援し、私たちの生活と働き方をより良くしていく。ほとんどの組織には、スキャナーやプリンター、カメラなどの日常的なデバイスを含め、何千、何十万とは言わないまでも、何百ものデバイスが存在している。
さらに、エネルギー公共事業や、水道会社、化学薬品メーカー、機器メーカー、輸送システム、その他の重要インフラの事業者は、業務を簡素化しビジネスの俊敏性を高めるために、デジタル技術とクラウドサービスを導入している。これらの企業はまた、OT(Operational Technology:制御技術)機器を利用して、顧客ニーズに対応しているのも事実だ。
一方で、DX(デジタルトランスフォーメーション)の推進は、脅威アクター(攻撃者)に門戸を開くことにもつながる。米CyberArk Softwareが2023年6月に発表した調査結果『2023年アイデンティティ・セキュリティ脅威情勢レポート』によれば、回答者の99%以上が「今後1年間にID関連の侵害に直面する」と予測する。その58%は「クラウドの採用やレガシーアプリの移行などDX促進施策の一環として、その問題が発生する」と回答している。
さらに最もリスクが高い部門であるエネルギー・公益事業部門においては、67%が「この種の攻撃を阻止できない」としている。
IoT/OTシステムの不適切な運用を攻撃者が狙う
IoTデバイスは、一見無害に見えるかもしれないが、攻撃者にとっては貴重な侵入口となり得る。組織のネットワークに接続されたスキャナーやプリンター、オフィスのレイアウトや機密情報を映し出すカメラなど、これらデバイスの多くは厳格なセキュリティプロトコルを欠いており、初期設定の認証情報をそのまま使用していることが多い。
初期設定の認証情報を変更したとしても、脆弱なパスワード文字列の選択、認証情報の共有や再利用、頻繁でないパスワードローテーションといった不適切な運用の慣行により、その認証情報が容易に侵害されるケースが多い。そのような認証情報を利用して攻撃者は、数多く存在するIoTシステムのソフトウェアやファームウェアの脆弱性を突いて、企業システムやサプライチェーンに深く侵入していく(表1)。
攻撃対象 | 攻撃の内容 |
---|---|
英国の水道会社 | 公共水道における化学物質レベルの制御システムにアクセスされた。別の攻撃では、同社の企業ITネットワークにアクセスされ、顧客の銀行口座情報がダークウェブに公開された |
カナダの鉱業会社 | ランサムウェア攻撃によって発生したインシデントにより、採掘業務が1週間以上停止し、収益に影響が出た。対策として、業務を隔離し、制御システムへの影響を判断するために手動プロセスに切り替えた |
米国の農業機械メーカー | ランサムウェア攻撃により複数の生産拠点で製造業務が中断し、業績に影響が出た。一部の生産施設に影響を及ぼしたため、影響を軽減するためにシステムの一部をシャットダウンした |
DNS サービスプロバイダー | ボットネットDDoS攻撃により、Twitter(現X)、NetFlix、Reddit を含む主要なインターネットサイトがダウンした |
ビデオ監視サービスプロバイダー | 特権アクセス攻撃で、工場や病院、学校、刑務所にある15万台のカメラに悪意を持った者がアクセスし、多くの顧客の機密映像が流出した |
無線制御型心臓ペースメーカー | ペースメーカーに存在していた脆弱性が利用され、攻撃者が患者の心拍を変更できた可能性があった |
一方OTシステムにおいて攻撃者は、そのシステムに存在する固有の脆弱性と不十分なサイバー衛生管理を日常的に悪用してOTネットワークに侵入し、悪意のある攻撃を実行している。サイバーセキュリティ全般に関して言えば、OTシステムのオペレーターは、それらのシステムを管理するベンダーからのリモートアクセス管理など、組織的・技術的な、さまざまな課題に直面している。
例えば、2014年に発生した米小売チェーンは初の情報漏えいの原因は、サードパーティベンダーが持っていたネットワークへのアクセス認証情報の漏えいと、その認証情報が決済システムへのアクセスに利用されたことだった。米国とカナダの店舗で数カ月間続いたデータ侵害は、5600万枚のデビットカードとクレジットカードに影響を与えた。
その数は、2013年のクリスマス前に米Targetの顧客に対する攻撃をはるかに上回るものだった。ちなみに、Targetのアクセス情報の漏えいも、サードパーティーのHVAC(Heating:暖房、Ventilation:換気、Air Conditioning:空調)のベンダー経由だった。