Kaspersky Lab ICS CERT:1年間の活動を振り返る

重要インフラ施設向けのサイバーインシデント緊急対応センターKaspersky Lab ICS CERTの設立から1年が経過しました。これを機に、今までの活動を詳しくご紹介したいと思います。

1年前、産業インフラや重要インフラ施設向けサイバーインシデント緊急対応センター、Kaspersky Lab ICS CERTを設立しました。1年の運用期間を経て、同センターが必要な理由、役割、他社の取り組みとの違いについて詳細を解説したいと思います。

Kaspersky Lab ICS CERTの役割

ICS CERTの主な業務は、産業用制御システム(ICS)のメーカー、産業施設の所有者や運用者、情報セキュリティリサーチャーの活動を調整することです。設立して間もないながら、同センターはICS市場の大手企業や地域の緊急対応センター(米国のUS ICS-CERT、日本のJPCERT/CC)、国際的な規制機関や州の規制機関と業務上の関係を築きました。

Kaspersky Lab ICS CERTと他センターとの違い

1つめの違いは、産業サイバーセキュリティ分野の他のコンピューター緊急対応チーム(CERT)は、国家機関あるいはICSメーカーの内部にある部署であるという点です。国家機関は国内の(大抵は地域的な)利害という範疇に留まり、メーカー内部門は自社製品に関連する問題のみに注力しています。当社のセンターには、このような制約がありません。

2つめの違いとして、他のCERTは脆弱性調査や脅威の状況に関する詳細分析を自社で実施しない傾向があり、サードパーティのリサーチャーやICSメーカーなど、外部から寄せられた脅威情報を処理することに特化しています。これに対し当社CERTは、世界大手の情報セキュリティベンダーとして、脆弱性調査や脅威の検知を独自に実施するためのリソース、技術、知見を有しており、何よりも経験が豊富です。Kaspersky Labはサイバー脅威の対処において20年以上の実績があり、ここ数年は特に産業系の脅威に注力してきました。

当社では、世界中から集められた流行中あるいは潜在的な脅威のビッグデータを、機械学習のツールやアルゴリズムで処理した後、エキスパートが細かな調整を行います。当社のICS CERTは、このようにして産業用制御システムに特化した標的型の脅威を特定します。

KL ICS CERTの働き

当社のCERTは、複数の分野で幅広いタスクを実施しています。主な役割は、コミュニティと知見を共有すること、パートナーへの技術的能力を示すこと、ICSセキュリティの専門家、エンジニア、運用者に本取り組みの存在を知らしめることです。

産業システム内の脆弱性調査:当社のエキスパートは、多様な産業用制御システムや産業IoT(IIoT)デバイスを常に調査し、セキュリティレベルの評価および新しい脆弱性の発見に努めています。この1年で100以上のゼロデイ脆弱性を検知し、システムのメーカーに報告してきました。こうした努力が実り、発見した脆弱性のうち54件は、各メーカーによって今年10月までに修正されています。

脆弱性を明らかにする当社の調査や取り組みの結果は、US ICS-CERTの年次レポート(英語)にて言及されました。米国の非営利団体MITREは、当社を脆弱性分野の権威(CVE Numbering Authority(英語):CNA)と認定しました。こうしてKaspersky Labはセキュリティ調査機関としてCNAのリストに加わり、世界で6番目の脆弱性研究機関となりました。

脅威の特定と解析、業界への報告:当社は、産業分野の企業への攻撃(標的型攻撃と、不特定多数を狙いICSシステムに偶然の影響を与える攻撃の両方)の特定および解析、SCADAシステムへの感染の発生元の調査、産業システムを狙うマルウェアの追求を実施しています。また、検知した脅威については登録者やパートナーに警告します。当社CERTのWebサイト(英語)では、ICSを取り巻く脅威の状況に関する半期レポートを現時点で2本掲載しているほか、特定された脅威に関する警告や産業分野の企業で検知された攻撃についてのレポート(英語)を定期的に公開しています。

インシデントの調査:産業分野の企業で発生したサイバーインシデントの調査では、原因の究明、攻撃者が使用したツールやテクニックの特定、修正の支援、新規インシデント防止の支援を行っています。この1年間、当社は世界各国の多種多様な業界(冶金、石油化学、建築資材)の企業を支援してきました。

産業システムの防御レベルの評価:当社のCERTは、産業用制御システムの防御レベルの評価に精通しています。さらに、企業が特定の脆弱性の有無を自社システムで独自にテストするためのツールも開発しています。こうしたツールを、将来的に増やしていく予定です。

産業界や国家の規制機関との連携:当社エキスパートは、産業施設の情報セキュリティを確実なものにするため、国家および業界の規制機関向け要件の策定に携わっています。この1年は、IIC、IEEE、ITU、OPC Foundationと生産的に連携し、これらの機関による標準規格およびテクノロジーの開発に大きく貢献しました。

教育:当社のCERTは、ICSの運用者やエンジニアのほか、企業の情報セキュリティ専門家向けにトレーニングセッションを開催しています。教育機関とも連携し、2017年初めには、MITの学生、大学院生、教員向けに1週間のICSセキュリティワークショップを開催しました。MITでの次のワークショップは2018年1~2月を予定しており、カリフォルニア大学バークレー校でも2017年11月に別途開催できるよう準備を進めています。さらに、ロシアの大学から本格的な修士課程向けのコースを開発してほしいとの要請を受け、Fraunhofer Societyと共同でトレーニングプログラムを開発中です。

Capture The FlagCTF:さまざまな産業用制御システムのハッキングをシミュレーションする情報セキュリティコンテストでは、他では得られない体験ができ、重要施設を守る方法について理解を深めることができます。そこで当社は、情報セキュリティ専門家を対象に、「Industrial CTF」と銘打ったコンテストを定期的に開催しています。2016年秋に行われた第1回の参加チームは大半がロシア勢でしたが、第2回の予選にはロシア、中国、インド、ヨーロッパ、中南米など180チーム以上が参加しました。Industrial CTF 2017(英語)には世界各国から約700チームが参加し、過去最高の参加数となりました。決勝戦は2017年10月24日、上海で開催されたGeekPwn International Conferenceにて行われ、予選を勝ち残った日本、韓国、中国のチームが競い合いました。

振り返ると、Kaspersky Lab ICS CERTの最初の1年は、ハードながら生産性の高い1年でした。1周年を迎え、すべての社員に感謝するとともに、この素晴らしい成果のさらなる発展を期待しています!

ヒント