ICS
私は、もう何年もこう言い続けています。「アンチウイルスは死んだ」と。
このような発言を聞くと、おかしいことをいう人だと思われるかもしれません。そう言っているこの私が、ウイルスとアンチウイルスに関わるすべての黎明期、つまり80年代後半と90年代前半からその中心にいた人物ですから。しかし、アンチウイルス(安らかに眠れ…)のトピックを少し深く掘り下げたり、かつてあったこの分野の信頼できるソースにあたったりすれば、この発言は非常に理にかなったものだとすぐわかるはずです。第一に、「アンチウイルス」は、「あらゆるものに対する」保護ソリューションに変わっています。第二に、特定のタイプの悪意のあるプログラムとしてのウイルスは死に絶えています。そのほとんど、が。いまだにサイバーセキュリティの問題を引き起こしてはいますが、見たところ、たった今書いたように、2022年も終わりを迎えたいま、「ほとんど」害がなく無視できるものです。今日のブログで取り上げるのは、この「ほとんど」の部分です。
さて。ウイルスの話をしましょう。「レッドリスト」入りした最後の残りものは、今、どこにいるのでしょうか?そして何をしようとしているのでしょうか…?
それらの居場所は、産業オートメーション分野の中でも最も保守的な分野の1つ、オペレーショナルテクノロジー(OT。ITと混同しないこと)の中でした。OTは、「物理的な装置や工程を監視・制御するためのハードウェアとソフトウェア技術のことである。たとえば、バルブやポンプなど物理的な装置・工程の変化を検出したり引き起こしたりする技術である」とされています(ウィキペディアより)。基本的にOTは、産業用制御システム(ICS)環境に関わるもので、「カーペット敷きでない場所でのIT」といわれることもあります。OTは、工場、発電所、交通システム、公共事業部門、採掘産業、加工産業、その他の重工業に特化した制御システムです。多くの場合、重要なインフラに関わるテクノロジーです。「死んだ」コンピューターウイルスが今日も生きて活動しているのが見つかるのは、この産業や重要インフラなのです。昨今のOTコンピューターに関わるサイバーインシデントの3%は、このタイプのマルウェアが原因で発生しています。
なぜでしょうか?
実は、答えはタイトルに挙げています。OTが、というよりこの業界では、アンチウイルス機能の適用に関して非常に保守的だからです。昔ながらのことわざ、「触らぬ神にたたりなし」を固く信じている分野があるとすれば、それはOT分野です。OTで最も重要なのは安定性であり、最新の付加機能ではないのです。新規バージョン、アップグレード…さらには(ソフトウェアなどの)単なるアップデートですら、軽視している、あるいは恐れているとは言わないまでも、すべてに対して懐疑的な目が向けられます。事実、産業用制御システムのオペレーショナルテクノロジーでは、きしみそうな古いコンピューターで、まさかのWindows 2000(!)と脆弱性満載の他のアンティークなソフトウェアを取り合わせて実行していることがよくあります(そこにあるのは巨大な穴だらけのセキュリティポリシーに、ITセキュリティ担当者にとっての恐ろしい悪夢がすべて詰まっています)。「カーペット敷きでない場所」のイメージに急いで戻りましょう。カーペット敷きの場所(ここではわかりやすくオフィス内、といってもいいでしょう。製造現場や附属施設または技術的な施設以外の場所)のITキット、これは、アップデート、アップグレード、オーバーホールを適切なタイミングで行っているので、ずっと前からすべてのウイルスに対するワクチンソフトがインストールされています。その上、現代のサイバーセキュリティソリューションによって完全に保護されています。一方、カーペット敷きでない場所(OT)では、すべてがまったく逆です。それゆえ、ウイルスが生き残り、今も栄えているのです。
2022年にICSコンピューターで最も広範囲に感染した「旧来の」悪意のあるプログラムの上位10個を見てみましょう。
さて、このグラフは私たちに何を語っているでしょうか?
実のところ、最初にお伝えしておきたいのは、上のグラフのパーセンテージはこれら旧来のウイルスの「休眠」期間に関連しているということです。とはいえ、それらのウイルスは時折、感染しているシステムの境界から脱して、ネットワーク全体に広がることがあり、それが深刻な局所的流行につながります。本格的な処置を施す代わりに取られるのは、古き良きバックアップという手段であるのが普通です。ただし、バックアップが「クリーン」であるとは限りません。さらに、感染は、ICSコンピューターだけではなく、プログラマブルロジックコントローラ(PLC)にも影響する可能性があります。たとえば、PLCのBlasterワーム(PLCのファームウェアに感染する概念実証ワーム)が出現するずっと前から、Salityローダーは存在していました。厳密に言えば、存在していたといっても過言ではないでしょう。ファームウェア内ではなく、WebインターフェイスのHTMLファイルのスクリプトの形で。
さて、確かに、Salityは、自動生産プロセスに大きな被害を与えることができますが、それだけではありません。悪意のあるドライバーを通じてメモリをめちゃくちゃにする可能性があります。アプリケーションのファイルやメモリに感染して、産業用制御システムを数日以内に完全に停止させる可能性もあります。さらに、感染が進行中である場合、ネットワーク全体が停止する可能性があります。Salityは2008年以来、アクティブなコントロールセンターのリストの更新にピアツーピア通信を使用しているからです。ICSのメーカーが、そのように攻撃の意図を持つ動作環境を想定してコードを書く可能性はほとんどありません。
2つ目、月に0.14%は大して多いとは思えないかもしれませんが、これは世界の重要インフラの数千の事例を表しています。このようなリスクは、基本中の基本といえる手段で完全かつ簡単に排除できることを考えると本当に残念です。
そして、3つ目、工場のサイバーセキュリティがザルのようなものだとすれば、そのような工場で、他のタイプのマルウェア、特にランサムウェアによる攻撃成功のニュースがよく聞かれるのも不思議ではありません。(例: Snake対ホンダ)。
OT関係者が保守的な理由は明らかです。彼らにとって一番重要なのは、管理下の産業プロセスが常時稼働することです。しかし新しいテクノロジーの導入、アップデート、アップグレードはその産業プロセスが中断される可能性があります。時代遅れのテクノロジーを使用し続けることで生存する旧来のウイルスが原因で、産業プロセスが中断されることについてはどう考えるのでしょうか。実は、それがOT関係者が直面しているジレンマです。そして時代遅れのまま何の手も打たずに目を背けることが常なのです。以上が私たちがグラフの数値から読み取ったことです。
さぁ、ではどうするべきなのでしょうか。カスペルスキーの「薬」があれば、そのジレンマを過去のものにできます。
理想は、産業プロセスの継続性に一切リスクを及ぼすことがないOTキットを導入・アップデート・アップグレードする機能でしょう。2021年、カスペルスキーは、この理想を実現するシステムの特許を取得しました。
要するに、こういうことです。常時稼働が必須のプロセスに何か新しいものを導入する前に、まず本番プロセスのモックアップ、つまり重要な産業用機能をエミュレートする特別なスタンドでテストします。
スタンドは、特定のOTネットワークの構成から成り、産業プロセスで使用されているものと同じ種類のデバイス(コンピューター、PLC、センサー、通信システム機器、さまざまなIoTキット)をオンにし、製造プロセスまたは他の産業プロセスを複製するために互いに通信させます。スタンドの入力端末には、テスト対象のソフトウェアのサンプルがあり、これに対するサンドボックスによる監視が開始されます。サンドボックスはそのアクションをすべて記録し、ネットワークノードの応答、パフォーマンスの変化、接続のアクセシビリティ、その他多くの細かい特性を監視します。このように少しずつ収集されたデータによって、新しいソフトウェアのリスクを説明するモデルの構築が可能になります。これを基に、新しいソフトウェアを導入するかどうかや、発見された脆弱性を解消するためにOTに対して取るべき処置について、十分な情報を得た上で決断できるようになります。
これで終わりではありません。さらに面白い展開があります。
入力端末では、展開予定の新しいソフトウェアやアップデートだけでなく、文字どおり何でもテストできます。たとえば、外部の防御手段を回避し、保護された産業ネットワークに侵入する悪意のあるプログラムからのレジリエンスをテストできます。
この種のテクノロジーは、保険の領域で大きな可能性を秘めています。保険会社は、サイバーリスクを適切に評価して保険料をより正確に計算できるようになります。一方、保険契約者は正当な理由なく料金を払い過ぎることがなくなります。また、産業用機器のメーカーは、サードパーティの開発元のソフトウェアとハードウェアの検証にスタンドテストを使用できます。このコンセプトの開発をさらに進めると、同種のスキームを業界特有の認証センターにも適合させることができます。教育機関での研究においても可能性があります!
しかし今は、工場のスタンドの話に戻りましょう。
OTネットワーク内の全種類のプロセスを100%正確に再現できるエミュレーションがないのは言うまでもありません。しかし、これまでの膨大な経験をベースに構築したモデルに基づいて、私たちは、新しいソフトウェアを導入した後に「想定外」のことが起きそうな場所がなんとなくわかっています。さらに、当社は他の方法、たとえば異常の早期警告システムであるMLAD(これについてはここで詳しく書いています)で、状況を確実に制御できます。MLADは、直接的、さらには間接的な相互関係に基づいて、生産工程にある特定のセクションの問題を正確に指摘できます。こういった方法で、インシデントによって数千億とまではいかなくても数億円を失う事態を回避できます。
では、OT関係者がこのスタンドモデルの早期導入に踏み切れずにいるのはなぜでしょうか。
まあ恐らく、今の段階では、非常に保守的な人たちなので、当社のようなソリューションを積極的に探していないのでしょう。そもそもそれが必要だとも考えていないのですから(!)。この業界の数億円を守るため、もちろん当社のテクノロジーのプロモーションに最善を尽くすつもりですが、さらにここで付け加えておきます。当社のスタンドモデルは、複雑ですが、ひとたび大手メーカーやインフラ組織に導入すれば、すぐに採算が取れます。そして、これはサブスクリプションモデルなどではありません。買い切りなので、追加投資なしで何年も(規制遵守や、信用および稼働維持に関するリスクを最小化して)トラブルのない状態を保ってくれます。そうそう、他にも保ってくれるものがあります。それはOT関係者の冷静さと…正気です。
ヒント