今回の論文はこちら。2022年3月発行の International Journal of Cybersecurity Intelligence & Cybercrime から、重要インフラのサイバーセキュリティに関する考察です。CISAが出しているアラートやアドバイザリーから知見を得ようという内容です。
もくじ
どんな人におすすめ?
重要インフラまわりのサイバーセキュリティに関わる人向け、特に調査・研究・マーケティング活動を行っている人向けの論文です。重要インフラのサイバーセキュリティがなぜ必要なのかは、もはや説明の必要がないほど世間でも理解が進んできました。コロナ禍でアクセルベタ踏みになったデジタル化の追い風もあって、アタックサーフェスも増えるし、被害の規模もエグいし、コロニアルパイプラインもランサムウェアへの身代金支払っちゃうしで、否が応でもサイバーセキュリティを考えずにはいられない領域になりました。
しかも、重要インフラ関連のサイバーインシデントは公的機関がそれなりに情報を集約してまとめていたりします。なぜかというと、重要インフラ業界は国家活動に大きく関わるところなので規制が多く、インシデント発生時のお上への通知義務があることが多いからです。電力系が攻撃されて停電しましたなんてことがあったら確実に通報しなきゃならんので、セキュリティに関わる方々はCISAやらCERTやらの公的な発表内容を参照する場面も多いと思います。そんな方々に読んでもらいたい論文です。
どんな内容?
CISAなどから出るアラートやアドバイザリーから、重要インフラへのサイバー攻撃の傾向が見えてくるよって話です。あと大事な点として、このような公的な情報にも特性と限界があるよってことも見えてきます。
研究方法は、CISAとICS-CERTから発行された2008年11月から2020年6月までのすべてのアラートとアドバイザリーを母数として、自然言語分析アプリケーションを使ってどんな報告内容が多いのかを分析するというやり方です。最近は便利な分析ツールがたくさん出てきているので、こういうメタ分析チックなやつもかなり楽にできるようになってきてるんですね。すごいぜ。
ちなみに、CISAが定義する重要インフラは全部で16部門あります。その分類は、化学、商業、通信、重要製造業、ダム、防衛産業基盤、新興エネルギー、金融サービス、食品・農業、政府施設、医療・公衆衛生、情報技術、原子炉・材料・廃棄物、輸送システム、水・廃水システムです。この重要インフラって区分けは国によって微妙に違うみたいで、日本だと14部門で、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油です。日本は国土の小さい島国だから空港とかも入っているんでしょうか。余談ですが、地政学的に見ると実はアメリカも島国なんですよね。
内容については、引っこ抜いたデータをTableauにぶち込んできれいに図化してくれていますので、それを見ていきましょう。まずは年間総数の遷移です。
当たり前っちゃ当たり前ですが、総数は右肩上がりです。2020年の数値が低いのは半年間しか取っていないからです。ペースとしては過去最高でした。デジタル化が進むにつれてサイバー攻撃も増えるのは自然なことなので増えること自体は驚きではありません。が、ここ最近だと200と数十件ってところなので、単純計算で二日に一回以上インシデントが発生しているという状況です。そう考えると嫌な数字ですね。
次は分野別の合計件数です。
エネルギーが二位の製造を200件ほど引き離して一位です。特に電機関連設備は「インフラのインフラ」ともいえる超重要設備なので、国家作戦としてのサイバー活動の意図を考えると自然な結果です。電力系のサイバーインシデントの代表といえば、2015年と2016年のウクライナの大停電でしょう。Nation-Stateであろうといわれていますが、詳しく知りたい人は『世界の覇権が一気に変わる サイバー完全兵器(デービッド・サンガー著)』あたりがお勧めです。昨今はパイプラインだったり自動車工場だったりの操業が止まる系のサイバーインシデントがありましたが、あれは直接的にはICS/OTアセットは侵害されていません。オペレーターが予防措置のためにやむなく止めた感じです。そう考えるとウクライナの停電はエグいです。Sandworm怖い。それに加えて最近だと、第7のICS/OTマルウェアと呼ばれるPIPEDREAMなんかも出てきているので、そこまで熟練していない攻撃者でもICS Cyber Kill Chainをなぞれちゃうという怖い時代です。
注目ポイント
注目したいのは3つ。まずは分野別の年間報告件数の推移です。
2010年に全体がハネてます。特にエネルギーと通信。これはStuxnetの発見と重なります。Stuxnetはそれはもう作りこまれた武器で、イランの核施設のシーメンス社製品を狙い撃ちしているという完全に大きい黒幕がいる系の攻撃。これによって重要インフラに対するサイバー攻撃の影響に対する世界の見方が変わり、ICSセキュリティに新たな注目が集まることになりました。翌年にアメリカ国防総省が「うちのエネルギー施設攻撃したらマジで戦争だかんな」的な発言をしたこともあり、サイバー戦争の幕開けとしてもよく引き合いに出されます。物騒な世の中です。よくも悪くも、こういう大きい事件はセキュリティの転換期になります。特にナショナルセキュリティが絡む領域なので、そりゃアメリカも気合入ります。
二つ目がこれまた興味深い。攻撃者タイプ別の件数です。
ほとんどが「Cyber Actors」です。Nation-State、Cybercriminials、APTと続きますが、要はほとんどのケースでアトリビューションをしていないという状態です。これはまあ当たり前のことで、アラートやアドバイザリーは、脅威行為者の行動や活動よりも脆弱性や悪用可能な技術を伝えるために使用されているため、敵対者の帰属がなくても責められません。そしてアトリビューションは困難を極めるので、書いてなくて当然。最近のニュースなんかだと帰属に言及しがちなので簡単そうに感じますが、めちゃくちゃ難しいので誤解なきよう。
そして三つ目。TTPsです。
上位の攻撃手法であるDoS、任意コード実行、フィッシングなどは過去の研究からもその多さは指摘されてきているので、特に驚きはありません。ここで注目すべきはマルウェアとランサムウェアの数値でしょう。ランサムウェアもマルウェアの一種ですが、切り出して考えるべきと言えるほど深刻なものです。2023年時点の肌感覚よりも少くない?っていうのがほとんどの人の感覚だと思いますが、ベンダーの報告の中には、増えてるよってものもあれば、減ってるよってものもあるので、ランサムウェアの件数に関してはどういう基準で件数をカウントしているのかを明確にして比較するのがお勧めです。今は攻撃者の志向として攻撃特定性が高くなる傾向にあるので、件数自体は少なくなっていると考えるのが妥当だと思います。ニュースやらでけっこうセンセーショナルに取り上げられるので増えている印象がありますが、そこは冷静に数字でみようぜっていうことですね。ちなみに、ランサムウェアの件数が少なくなっていることと、被害が減っていることは同義ではありません。内部侵入を伴うHuman-operatedの手法が主になっているので、一回のサイバー作戦で使われるTTPsが増えてるってことです。だから多層的な検知が大事なんです。
感想
ある程度の限界はあるとはいえ、実際のインシデント量と傾向を公的数値から検討できるのは価値だと思います。HIPPAなんかだと月次ジャーナルとかでインシデントの報告件数とか内訳を詳しく出していたりするので、そういう活動がもっと注目されるといいなあ。微力ながらこのブログでも取り上げていきます。
最後に、やっぱ時代はTTPsだよなと結構本気で思っています。これだけHuman-operatedかつLOL (Living Off the Land) みたいなステルス手法が主になってくると、単発のセキュリティイベントでは「攻撃」と判断できなくなってきます。でも判断が遅れるとやばいことになる。だから複数のイベントを重ねて「一連の攻撃」といち早く判断できるようにするわけですね。そうするには多層的なセンサーと文脈が必要になるので、XDRという仕組みが最適だと。いつかその話もしたいと思います。
最後までお読みいただきありがとうございました。ではまた次回。
おわり
