IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析
こんにちは、丸山満彦です。
IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。
攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。
Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法
で、攻撃者の例示として次のようなものをあげていますね。。。
- 外部者
- 内部関係者
- 犯罪者/ハクティビスト/スクリプトキディ
- 産業スパイのアクター
- サイバーテロリスト
- 国家背景のアクター
取り上げている事例の時系列も改めて見ると良いですね。。。
● IEEE - IEEE Access
・Year: 2021 | Volume: 9 - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents
・[HTML]
・[PDF]
概要は、
概要
Abstract | 概要 |
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. | 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。 |
章立てです。。。
ABSTRACT | 概略 |
I. INTRODUCTION | I.イントロダクション |
II. BACKGROUND | II.背景 |
A. ICS ARCHITECTURE | A. ICSアーキテクチャ |
B. ICS HARDWARE | B. ICSハードウエア |
C. ICS PROTOCOLS | C. ICSプロトコル |
D. ICS SECURITY | D. ICSセキュリティ |
E. CRITICAL INFRASTRUCTURES | E. 重要インフラ |
III. RELATED WORK | III.関連研究 |
IV. ADVERSARIAL MODEL | IV.敵対的モデル |
A. FINGERPRINTING | A. フィンガープリンティング |
B. CAPABILITIES | B. 能力 |
C. MOTIVES | C. 動機 |
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS | V.産業用制御システムと重要インフラのインシデント |
A. STUXNET | A. STUXNET |
B. DUQU | B. DUQU |
C. SHAMOON | C. SHAMOON |
D. HAVEX | D. HAVEX |
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK | E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK |
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK | F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK |
G. TRITON/TRISIS/HatMan | G. TRITON/TRISIS/HatMan |
H. VPNFilter | H.VPNフィルタ |
I. WannaCry | I. WannaCry |
J. NotPetya | J. NotPetya |
K. COLONIAL PIPELINE | K. コロニアルパイプライン |
L. OTHER INCIDENTS | L. その他のインシデント |
1) GERMAN STEEL MILL | 1) ドイツの製鉄所 |
2) MAROOCHY WATER SERVICES | 2) マルーチー・ウォーター・サービス |
3) NEW YORK DAM | 3) ニューヨーク・ダム |
4) ‘‘KEMURI’’ WATER COMPANY | 4) ''Kemuri''ウォーター・カンパニー |
5) SLAMMER WORM | 5) スラマーワーム |
6) SoBig VIRUS | 6) SoBig VIRUS |
7) TEHAMA COLUSA CANAL | 7) テハマ・コルサ・キャナル |
8) U.S. POWER GRID INTRUSION | 8)米国の電力網への侵入 |
M. DISCUSSION | M. DISCUSSION |
1) COMMON TOOLS AND APPROACHES | 1) 共通のツールとアプローチ |
2) VULNERABILITIES CATEGORIZATION | 2) 脆弱性の分類 |
3) AFFECTED PURDUE LEVELS | 3)影響を受けたパデュー・レベル |
4) MITIGATION | 4) 低減 |
VI. ICS PROTOCOLS VULNERABILITIES | VI.ICSプロトコルの脆弱性 |
A. DNP3 | A. DNP3 |
B. MODBUS | B. MODBUS |
C. PROFINET | C. PROFINET |
D. OTHER PROTOCOLS | D. その他のプロトコル |
VII. ICS DEVICE VULNERABILITIES | VII. ICデバイスの脆弱性 |
A. REVERSE ENGINEERING | A. リバースエンジニアリング |
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS | B. 制御ロジックのインジェクションと修正攻撃 |
C. LADDER LOGIC BASED ATTACKS | C. ラダーロジックによる攻撃 |
D. NATIVE ICS MALWARE | D. ネイティブICSマルウェア |
E. UNAUTHORIZED ACCESS | E. 不正アクセス |
F. SIDE CHANNEL ANALYSIS | F. サイドチャネル分析 |
VIII. CONCLUSION | VIII. 結論 |
REFERENCES | 参考文献 |
参考
• Outsiders: They are the most common adversaries in IT and OT environments. They exist outside the physical and network locations of the ICS environment. Depending on their resources and skills, they may possess prior knowledge of the ICS-specific assets. | • 外部者:ITおよびOT環境における最も一般的な敵である。ICS環境の物理的およびネットワーク的な場所の外に存在します。彼らのリソースやスキルによっては、ICS固有の資産に関する事前の知識を持っている場合もあります。 |
• Insiders: Malicious insiders can cause harm to the systems by leveraging their access. Often, these are disgruntled employees with access both to the facility and the network. Mainly, they leverage their knowledge and level of access as tools to perform their actions. | • 内部関係者:悪意のある内部関係者は、そのアクセス権を利用してシステムに損害を与える可能性があります。多くの場合、施設とネットワークの両方にアクセスできる不満を持った従業員です。主に、彼らは自分の知識やアクセスレベルを利用して行動を起こします。 |
• Criminals/Hacktivists/Script kiddies: These actors usually perform their actions for financial gain or hacktivism. They use common and sometimes widely available tools that are not drastically modified. Although their capabilities are limited in terms of resources and knowledge of the process that runs in ICS and CI, they can cause damage by exploiting commonly used systems. | • 犯罪者/ハクティビスト/スクリプトキディ:これらのアクターは、通常、金銭的な利益やハクティビズムのために行動を起こします。彼らは、一般的な、時には広く利用可能なツールを使用し、大幅な改造は行いません。彼らの能力は、リソースやICSおよびCIで実行されるプロセスに関する知識の点で限られていますが、一般的に使用されているシステムを悪用して被害を引き起こすことができます。 |
• Industrial espionage actors: Industrial espionage has as a primary goal the exfiltration of information about the inner workings of ICS and CI. These actors have skills that allow them to acquire a great amount of information (such as screenshots, blueprints, application logic) and often collaborate with insiders, but at the same time, they wish to remain as stealthy as possible. Especially with the arrival of IIoT, the collected big data can provide crucial information to this type of adversary. | • 産業スパイのアクター:産業スパイは、ICSやCIの内部構造に関する情報を流出させることを主な目的としています。これらのアクターは、大量の情報(スクリーンショット、設計図、アプリケーションロジックなど)を取得できるスキルを持ち、しばしば内部の人間と協力しますが、同時に可能な限りステルス性を維持したいと考えています。特に、IIoTの登場により、収集されたビッグデータは、この種の敵に重要な情報を提供することができます。 |
• Cyber-terrorists: This category also includes extremists, hacktivists, and other organized cyber-criminals. They target ICS and CI with the purpose of creating havoc and possibly spreading their ideology. They may be familiar with the physical premises of the targeted ICS and CI, and they persistently attempt to gain access to the network. They can acquire tools from resources that are not widely accessible to other actors. The use of the human element to deliver or initiate the exploits is another characteristic of their tactics. | • サイバーテロリスト:このカテゴリーには、過激派、ハクティビスト、その他の組織化されたサイバー犯罪者も含まれます。彼らは、大混乱を引き起こし、自分たちのイデオロギーを広めることを目的として、ICSやCIを標的にします。彼らは、標的となるICSやCIの物理的な施設に精通している可能性があり、ネットワークへのアクセスを執拗に試みます。彼らは、他のアクターには広くアクセスできないリソースからツールを入手することができます。彼らの戦術のもう一つの特徴は、人間の要素を利用して悪用を行い、あるいは開始することです。 |
• Nation-state actors: They are considered the most powerful, well-equipped, and skilled outsiders. Having, by definition extensive and sometimes unrestricted resources, they can target and damage a diverse set of CI. The attacks that originate from this type of actors can be performed as a means to test their capabilities, apply pressure to other nations or organizations for political reasons, polarize public opinion on controversial or other key matters, cause, and even harm to the administration and citizens. Their tactics are often performed under high secrecy with the ultimate goal to maintain a foothold in the targeted network. Their arsenal comprises a mix of legacy and specially crafted, highly sophisticated tools that might also include zeroday exploits. They have the capability to replicate the OT network, partially or in its entirety. | • 国家背景のアクター:最も強力で、設備が整っており、熟練したアウトサイダーと考えられています。この種のアクターは、定義上、広範かつ時には無制限のリソースを有しており、多様なCIを標的にして損害を与えることができます。この種のアクターによる攻撃は、彼らの能力を試すため、政治的な理由で他の国や組織に圧力をかけるため、論争の的になっている事柄やその他の重要な事柄について世論を偏らせるため、あるいは政権や市民に損害を与えるための手段として行われることがあります。彼らの戦術は、標的となるネットワークへの足場を維持することを最終目的として、高い機密性の下で実行されることが多い。彼らの武器は、レガシーなものと、特別に作られた高度に洗練されたツールの組み合わせで構成されており、ゼロデイエクスプロイトも含まれています。彼らには、OTネットワークを部分的または全体的に複製する能力があります。 |
« フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...) | Main | EU議会 2022年に注目すべき10の課題 »
Comments