リモート管理ツール(RAT)は、何かと物議を醸す存在です。RATを使えばハードウェアを直接操作せずに済みますが、同時に、設備へのリモートアクセスを可能とすることでコンピューターシステムを危険に晒すことにもなります。産業の環境におけるリモートアクセスは、特に危険をはらみます。Kaspersky LabのICS CERTでは、産業用コンピューターにRATがどの程度普及しているか、どのような害を及ぼす可能性があるかを調査しました。
Kaspersky Security Networkの統計によると、2018年の前半時点で、正規のRATがインストールされていたのはWindows OSを使用する産業システムの3分の1でした。ここでいう産業システムとは、SCADAサーバー、ヒストリアンサーバー(データ保存用サーバー)、データゲートウェイ、エンジニアやオペレーターのワークステーション、ヒューマンマシンインターフェイスのコンピューターを指します。
ときには、ローカル管理者やエンジニアが日常業務にRATを使用します。また、システムインテグレーターや産業制御システム開発者など、外部の第三者が診断やメンテナンスやトラブルシューティングを行うために、リモートアクセスを必要とする場合もあります。実際のところ、場合によってはRATが運用上の目的ではなく、サービスコスト低減の目的で使用されています。通常の技術プロセスに必要だとしても、起こりうるリスクを評価する価値はありますし、攻撃対象領域を狭めるためにプロセスの再構築を行うのも意味があるかもしれません。
もう1つの可能性も排除できません。保護ソリューションを欺くため、犯罪者が正規のリモート管理ソフトウェアを攻撃用ツールとして使うことがあるのです。
その問題とは?
産業ネットワークにおけるRATの危険性は、すべての専門家に認知されているわけではないようです。調査チームが対象としたシステムでは、RATに関して以下の状況が明らかになりました。
- システム権限を使用する例がしばしば見られる
- 管理者がシステムへのアクセスを制限できるようになっていない
- 多要素認証を採用していない
- クライアントのアクションをログに記録していない
- まだ発見されていない脆弱性以外にも脆弱性がある(つまり、自社のRATを更新していない)
- NATやローカルファイアウォールによる制約を回避可能にするリレーサーバーを使用している
- 既定のパスワードを使用している。または、認証情報のハードコーディングが常態化している
RATが使用されていることをセキュリティ部門が知らなかったケースもありました。要するに、この攻撃経路を考慮に入れる必要があることを把握していなかったのです。
しかし、一番の問題は、RATを使った攻撃と通常の活動との区別が非常に難しい点にあります。ICSインシデントを調査する過程で、当社のCERTエキスパートはRATを利用した攻撃の例を多数目にしました。
リスクを最小限に抑えるには
サイバーインシデントのリスクを減らすために、当社のICS CERTは以下の対策を推奨しています。
- オペレーショナルテクノロジーネットワークで使用しているリモート管理ツールについて、徹底的な監査を実施する。その際にはVNC、RDP、TeamViewer、RMS/ Remote Utilitiesに重点を置く。
- 運用上のニーズの妥当性を明示できないRATはすべて除去する。
- 自動制御システムのソフトウェアに統合されているリモート管理ソフトウェアを分析し、不要なものをすべて無効化する。
- 運用にRATが必要である場合は、無制限アクセスを無効化する。無制限アクセスは、文書で申請された場合にのみ期間限定で有効化する。
- リモート管理セッションごとに、コントロールを徹底し、イベントのログを確実に取る。
RATの調査に関する詳しいレポートは、Securelist(英語)にてご覧いただけます。このほかICS関連の調査、警告、助言については、Kaspersky Lab ICS CERTのWebサイト(英語)をご参照ください。