DXを背景にIoT／OTシステムのセキュリティリスクが高まる【第3回】

　新しいテクノロジーとイノベーションの融合と、その組織への導入は、従来のビジネスプロセスを見直し、より良いビジネス成果と生活の質の向上を生み出す原動力になっている。

　この近代化の取組みの1つが、IoT（Internet of Things：モノのインターネット）だ。テレビ会議から空調システムの管理まで、あらゆる面で組織を支援し、私たちの生活と働き方をより良くしていく。ほとんどの組織には、スキャナーやプリンター、カメラなどの日常的なデバイスを含め、何千、何十万とは言わないまでも、何百ものデバイスが存在している。

　さらに、エネルギー公共事業や、水道会社、化学薬品メーカー、機器メーカー、輸送システム、その他の重要インフラの事業者は、業務を簡素化しビジネスの俊敏性を高めるために、デジタル技術とクラウドサービスを導入している。これらの企業はまた、OT（Operational Technology：制御技術）機器を利用して、顧客ニーズに対応しているのも事実だ。

　一方で、DX（デジタルトランスフォーメーション）の推進は、脅威アクター（攻撃者）に門戸を開くことにもつながる。米CyberArk Softwareが2023年6月に発表した調査結果『2023年アイデンティティ・セキュリティ脅威情勢レポート』によれば、回答者の99%以上が「今後1年間にID関連の侵害に直面する」と予測する。その58%は「クラウドの採用やレガシーアプリの移行などDX促進施策の一環として、その問題が発生する」と回答している。

　さらに最もリスクが高い部門であるエネルギー・公益事業部門においては、67％が「この種の攻撃を阻止できない」としている。

IoT／OTシステムの不適切な運用を攻撃者が狙う

　IoTデバイスは、一見無害に見えるかもしれないが、攻撃者にとっては貴重な侵入口となり得る。組織のネットワークに接続されたスキャナーやプリンター、オフィスのレイアウトや機密情報を映し出すカメラなど、これらデバイスの多くは厳格なセキュリティプロトコルを欠いており、初期設定の認証情報をそのまま使用していることが多い。

　初期設定の認証情報を変更したとしても、脆弱なパスワード文字列の選択、認証情報の共有や再利用、頻繁でないパスワードローテーションといった不適切な運用の慣行により、その認証情報が容易に侵害されるケースが多い。そのような認証情報を利用して攻撃者は、数多く存在するIoTシステムのソフトウェアやファームウェアの脆弱性を突いて、企業システムやサプライチェーンに深く侵入していく（表1）。

　一方OTシステムにおいて攻撃者は、そのシステムに存在する固有の脆弱性と不十分なサイバー衛生管理を日常的に悪用してOTネットワークに侵入し、悪意のある攻撃を実行している。サイバーセキュリティ全般に関して言えば、OTシステムのオペレーターは、それらのシステムを管理するベンダーからのリモートアクセス管理など、組織的・技術的な、さまざまな課題に直面している。

　例えば、2014年に発生した米小売チェーンは初の情報漏えいの原因は、サードパーティベンダーが持っていたネットワークへのアクセス認証情報の漏えいと、その認証情報が決済システムへのアクセスに利用されたことだった。米国とカナダの店舗で数カ月間続いたデータ侵害は、5600万枚のデビットカードとクレジットカードに影響を与えた。

　その数は、2013年のクリスマス前に米Targetの顧客に対する攻撃をはるかに上回るものだった。ちなみに、Targetのアクセス情報の漏えいも、サードパーティーのHVAC（Heating：暖房、Ventilation：換気、Air Conditioning：空調）のベンダー経由だった。