UEBAで脅威と戦う：製造業界

この4部構成のシリーズでは、医療、金融、製造、教育の4つの業界で実際に発生したサイバー攻撃を想定して、その実態に迫ります。このシリーズでは、予期しないセキュリティ攻撃のシナリオを取り上げ、UEBA（User and Entity Behavior Analytics）を活用して組織を保護する方策を探ります。シリーズ第3回目の今回は、製造業界を脅かすサイバー攻撃についてです。

製造業界における危機

私たちは今、インダストリー4.0（第4次産業革命）の真っただ中にいます。高速インターネット接続、クラウド、IIoT（Industrial Internet of Things）デバイス、ほとんどすべての詳細を把握できるスマートセンサー、その他の技術的進歩の出現により、製造業は大きな恩恵を受けています。

生産の精度、規模、効率は飛躍的に向上しましたが、この物理的特性とサイバー状態の融合は、製造業を高度なサイバー脅威にさらすことにもなります。ここでは、この分野で起こりうるサイバー攻撃と、IT管理者がそれに対抗するためにUEBAができることについて説明します。

ケース１：水飲み場型攻撃

ライアン・クーパー氏は、世界有数の電気自動車製造会社であるエココグ社の製品開発サイエンティストである。クーパー氏は、研究目的で定期的にベンダーのウェブサイトから設計アプリケーションをダウンロードしています。

クーパー氏の知らないところで、Red Pandaというハッカー集団がエココグのネットワークに侵入しようと躍起になっていました。フィッシング攻撃で何度も侵入に失敗した後、最終的にRed Pandaはターゲットが頻繁に訪れるWebサイトに感染させるという「水飲み場型攻撃」の手法を利用した侵入を決行します。結果的にクーパー氏は、Red Pandaに感染したベンダーのウェブサイトから工業デザインソフトウェアをダウンロードすることになります。水飲み場型攻撃の成功です。

Red Pandaがエココグ社のSCADAデバイスに関する情報を盗む

ダウンロードされたソフトウェアには、OPC（Open Platform Communication）スキャンモジュールとRAT（Remote Access Trojan）を含むマルウェアが含まれており、これらが連携してネットワーク内のSCADA（Supervisory Control and Data Acquisition）機器に関する情報を攻撃者のC&C （Command and Control）サーバーに送り込みます。ソフトウェアがダウンロードされると、マルウェアはバックグラウンドで実行さ れます。OPCスキャナは、リモートで接続されたSCADAデバイスに複数のクエリを送信し、返された値を保存するために多数のテキストファイルを作成します。

Red Pandaがこのマルウェアによる製造装置に関する情報の入手に躍起になっている間に、エコログが最近導入したUEBA（User and Entity Behavior Analytics） ソリューションでは、マルウェアがSCADAサーバーに何度も問い合わせを行い、多数のテキストファイルを次々と作成することからパターンや カウントの異常が検出されたのです。この異常が検出されると、クーパー氏のワークステーションのリスクスコアが急上昇し、IT管理者に警告が発せられ、C&Cサーバーに情報を送信する前にシステムを隔離したため、Red Pandaによる機密データ窃盗の試みを再び阻止することに成功したのです。

ケース２：ワイパー攻撃

食用油製造業界の大手であるトーマス・ベジタブル・オイル社が、ワイパー攻撃に屈したことが先日話題となりました。この攻撃では、マルウェアがネットワークに属する数千台のコンピュータのマスターブートレコードを完全に消去し、同社は完全に機能停止に陥ったのです。攻撃者は、パスワードスプレー攻撃によって、同組織に接続されたガス漏れセンサーを侵害することで、ネットワークの産業用フロアに侵入しました。

周辺機器であるセンサーからネットワーク内に水平移動し、センサーが日常的にデータを送信している中央サーバーにアクセスし、戦術的にマルウェアを仕込みました。同社はすべてのデータをバックアップしていたにもかかわらず、復旧に時間がかかることが判明しました。トーマス・ベジタブル・オイル社は、この攻撃から復旧するために数日間工場を停止させ、大きな損失を被りました。

トーマス・ベジタブル・オイル社は、このワイパー攻撃により完全に情報を失いました。

このような大惨事は、トーマス・ベジタブル・オイル社が効果的なUEBAツールを導入していれば、完全に防ぐことができたはずです。UEBAは、ユーザーアカウントだけでなく、製造業のエコシステムを形成するさまざまなIIoTデバイスを監視することに長けています。火災やガス漏れのセンサーが生成するログをUEBAソリューションに送り込むことで、攻撃者がパスワードスプレー攻撃を行った瞬間に、パターンやカウントの異常を発見できたはずです。その結果、対象事業者のリスクスコアが上昇し、IT管理者に潜在的な脅威を通知することができたのです。

ケース３：データ泥棒

ジェフ・カーターは、キクシール社に新しく入社した営業研修生です。キクシール社は接着剤製造会社で、最近、生分解性のダクトテープを開発し、話題を呼びました。しかし、カーターが入社した本当の目的は、会社の製造技術に関する情報を盗むことでした。彼は、製造ファイルにアクセスできる品質エンジニア、ジョージ・サイモンの信頼を勝ち得ることに成功します。カーターはサイモンを監視し、彼のアカウントのパスワードを見破るこに成功しました。

ある日、カーターは就業時間後に残ってPCを使い、サイモンのアカウントにサインインしました。彼は、ダクトテープに関する情報を含む文書を探すため、いくつかのファイルにアクセスします。彼が目的の情報を含むフォルダを見つけ、それをUSBスティックにコピーしようとしたとき、組織の情報セキュリティ担当者が彼を訪ねてきた。カーターは、キクシール社がネットワークの監視にUEBAを採用していることを知らなかったのです。UEBAソリューションでは、サイモンのアカウントが勤務時間外にアクセスされることや、彼以外のワークステーションからアクセスされることは珍しいと判断し、時間やパターンの異常を正確に特定することができました。サイモンのアカウントとカーターのPCのリスクスコアは大幅に上昇し、IT管理者に潜在的な危険性を警告するに至ったというわけです。

カーターはキクシール社の企業秘密を盗もうとした罪で逮捕されています。

カーターは知的財産を盗もうとした罪で実刑判決を受けましたが、サイモンは警告を受け、アカウントの悪用を防ぐためのサイバー衛生とベストプラクティスについてカスタマイズしたサイバーセキュリティ・トレーニングを受けることになりました。

製造業の組織は、もはや金銭的・個人的な利益のために個人やハッカー集団に狙われるだけではありません。国家間の競争により、極めて巧妙な国家主導の攻撃が現実のものとなっています。このようなシナリオにおける攻撃者は、Red Pandaやジェフカーターたちよりもはるかに巧妙でかつ危険であり、一国の経済状態がその製造部門の状態に大きく依存しているため、その被害による影響はさらに壊滅的なものになる可能性があります。UEBAソリューションのような、より能動的なサイバーセキュリティ施策を実装することで、今日のクリティカルな製造業のインフラを守る手段としてとても重要なものとなります。

【連載】UEBAで脅威と戦う

• 医療保険業界
• 金融業界
• 製造業界
• 教育機関

UEBAの関連記事

• 会社を守る脅威インテリジェンス「UEBA（User and Entity Behavior Analyics）」とは？
• UEBA（User and Entity Behavior Analytics）を大解体！