運用技術を狙ったサイバー脅迫
サイバー犯罪者が新しい強迫手段、例えばDM-PLCを使ってOTシステムを悪用してる。
― 1 分で読む
オペレーショナルテクノロジー(OT)は、工場や発電所にあるような物理的プロセスを監視したり制御したりするためのシステムを指すんだ。何年も前は、これらのシステムは複雑でアクセスしにくいから、サイバー攻撃から安全だと思われてた。でも、技術が進化するにつれて、経験の浅いサイバー犯罪者でもOTシステムを狙うようになってきた。この攻撃者のシフトで、攻撃の目的がスパイ行為や遅延を引き起こすことから、実際に恐喝することに変わってきてる。
サイバー恐喝、あるいはCy-Xは、ますます深刻な問題になってきてる。データをロックして身代金を要求するランサムウェアみたいな伝統的な手法はITの世界では有名だけど、今はOTにも進出してきてる。専門家は、もしOTシステムでランサムウェア攻撃が発生したら、通常の復旧方法はまだ有効だと考えてる。でも、新しいアプローチとして「デッドマンズPLC(DM-PLC)」という戦略が登場してきたんだ。これはOTシステム内の既存のプロセスを利用するものなんだ。
デッドマンズPLCとは?
DM-PLCのコンセプトは、PLC(プログラム可能論理コントローラー)などのデバイスが常にコミュニケーションを取るネットワークを作ること。システムを変更しようとしたり、身代金を支払わなかったりすると、このネットワークが反応して、すべての接続されたデバイスが同時にオンになるから、物理的な環境が混乱しちゃう。つまり、サイバー犯罪者はOTの全体を身代金で人質に取ることができるってわけ。
DM-PLCの実装は、効果を確かめるために制御された環境でテストされてきた。攻撃者がOTを妨害するために複雑なスキルやツールを持つ必要がないことを示すことが目的なんだ。
オペレーショナルテクノロジーの構造
OTシステムは、センサーやアクチュエーター、PLC、エンジニアリングワークステーション(EW)などの物理デバイスで構成されてる。これらのデバイスは、製造プロセスを監視して制御するのを助ける。OTの主な役割は、ITシステムがデータや情報を扱うのとは違って、物理的な世界とリアルタイムでやり取りすることなんだ。
これらのデバイス間のコミュニケーションは、スムーズな運営に欠かせない。でも、OTシステムへのアクセスは通常、認可された人員に限られてる。この制限のおかげで、ITシステムに比べてサイバー攻撃を抑えることができてた。
サイバー恐喝の増加
サイバー犯罪者が賢くなるにつれて、被害者から金を引き出す新しい方法を探してる。サイバー恐喝の手口はデータの暗号化だけにとどまらず、暗号化されていないデータを盗んで公開すると脅すこともあるから、特にデータ保護に関する規制が増える中で、被害者を早く支払わせるプレッシャーがかかるんだ。
OTシステムはこれまで主に攻撃を受けずに来たけど、サイバー犯罪者がこれらのネットワークを狙うことに興味を持ち始めてる。それは主に、OTのダウンタイムが非常に高コストになるから。混乱が安全問題や生産損失、さらには環境へのダメージに繋がるから、被害者が運営を復元するために身代金を支払いがちなんだ。
サイバー攻撃から回復するための伝統的な方法、たとえば故障したデバイスの交換やバックアップの復元だけでは、DM-PLCがもたらす新たな脅威に対抗するには不十分かもしれない。
DM-PLCの仕組み
DM-PLCはOT環境内の既存のコミュニケーション手法を利用して、隠れたネットワークを作るんだ。以下にその流れを説明するよ:
モニタリングネットワークの構築:最初のステップは、環境内にあるすべてのPLCとEWが互いにコミュニケーションできるようにすること。これは、互いにポーリングするための既存の機能を利用することで達成されるんだ。常にすべてが意図した通りに機能しているかをチェックする。
改ざんの検出:被害者が制御を取り戻そうとしているとか、身代金を支払わないといったアクティビティがあった場合、DM-PLCシステムは反応を起動する。これはデッドマン・スイッチの仕組みに似ていて、すべての接続されたPLCが出力をオンにして、全体の操作を妨害する。
アラートの通知:ポーリングの失敗や改ざんが検出されると、ネットワーク内のすべてのデバイスがアラートを受け取り、その出力が「オン」状態に切り替わる。これが物理的な環境に即座に混乱を引き起こすことになる。
既存機能の利用:DM-PLCの魅力は、OTシステム内に既にある機能を活用することなんだ。だから、サイバー犯罪者は複雑なソフトウェアやハッキングツールを作る必要がなく、単に利用可能な機能を被害者に対して使うことができる。
DM-PLC実装のステップ
DM-PLCの実装には、成功を確保するためのいくつかの準備ステップがあるよ:
攻撃の準備
DM-PLCを使った攻撃を行うためには、攻撃者はターゲット環境についての情報を集める必要がある。これには:
現在のPLCプロジェクトの特定:攻撃者はPLCの現在の設定を見つけなきゃいけない。通常、これは特定のPLCに利用できるツールを使ってシステムに接続することを含む。
PLC間の関係の理解:攻撃者は、各PLCがどのように他のPLCとコミュニケーションを取っているのかを理解する必要がある。これにより、隠れた監視ネットワークを形成するための新しい接続を作ることができる。
PLCコードブロックのレビュー:PLCで動作するコードを理解するのは重要だ。DM-PLC機能が進行中のプロセスに影響を与えずに動作することを確実にする必要があるから。
DM-PLCの展開
準備が完了したら、DM-PLCを展開する時が来た:
PLC間の通信の確立:攻撃者は、PLC間の通信機能を設定し、データの送受信ができるようにする。
EWをネットワークに追加:エンジニアリングワークステーションをPLCに接続して、すべてのデバイスをカバーする完全な監視ネットワークを作る。
ステータスチェッカーの設定:各デバイスが他のデバイスの状態を監視して、予期しない変更が発生した場合に迅速に対応できるようにする。
運用妨害のためのコード作成:システムには、改ざんアラートがトリガーされた場合にすべてのPLCの出力をオンにするプログラミングが含まれている。これは最大限の混乱を引き起こすように設計されてる。
DM-PLCの装備
最後のステップは、DM-PLCを装備することで、監視とアラートシステムが適切に機能する状態にしておくこと。攻撃者は、ネットワークが安定しているかを確認し、すべてのアラートが希望する反応をトリガーするように設定されているかを確かめなきゃいけない。
DM-PLCの評価
DM-PLCの効果は、Controlled settingsでテストされて、主に3つのシナリオに焦点を当ててる:
PLCをネットワークから外す:1つのPLCとの接続を切ったとき、他のデバイスはすぐに通信の欠如を認識してアラートをトリガーした。
身代金タイマーの期限切れ:支払うべき身代金の期限が切れると、デバイスも適切に反応し、アラートを上げて出力をオンにした。
擬似的な支払い:身代金が「支払われた」として、攻撃者がシステムを解除する必要があったシナリオでは、すべての操作が問題なく通常の状態に戻った。
結果
テストの結果、DM-PLCは各シナリオで意図した通りに機能した。アラートがトリガーされたときのシステムの行動は設計と一致していて、OT環境でサイバー恐喝のツールとしての潜在能力を示してる。
潜在的な制約
デモンストレーションは有望だったけど、DM-PLCにはいくつかの制約がある:
セットアップ時間:必要な情報を集めてデバイスを設定するのには時間がかかる。でも、サイバー犯罪者にとっては、それほど長いプロセスではない。
スケーラビリティ:テストは限られた数のデバイスで行われたけど、構造は適応可能。大規模なシステムにも展開できる方法だ。
ネットワークの信頼性:ポーリングシステムが敏感すぎると、一時的なネットワークの問題がアラートを引き起こすことがある。ポーリングの頻度を調整したり、デッドバンドを導入することでこの問題を解決できる。
出力状態の影響:現在のコンセプト証明は出力を無差別にオンにするだけ。実際の攻撃では、混乱を最大化するためのより戦略的なアプローチが適用できるはず。
安全なシャットダウン:被害者がシステムを安全にシャットダウンしようとするかもしれない。DM-PLCのコードを強化して、シャットダウン信号を認識し、それに応じた反応をするようにする必要がある。
防御戦略
DM-PLCがもたらす脅威を理解することは、OTオペレーターがシステムを守るために重要だ:
強化されたセキュリティプロトコル:セキュリティ対策を定期的に見直し、更新することで、無許可のアクセス試行を検出し、防ぐのに役立つ。
ネットワークトラフィックの監視:ネットワークトラフィックを積極的に分析できるシステムを導入して、DM-PLCの展開試行を特定できる。
ユーザーアクセス管理:重要なデバイスへのアクセスを制限し、許可された人だけがEWやPLCを操作できるようにするのが重要だ。
定期的なトレーニング:スタッフは、潜在的なサイバー脅威を認識する方法や、侵入の疑いがある場合の対処法について教育されるべきだ。
結論
DM-PLCアプローチは、オペレーショナルテクノロジーに対して実際の脅威をもたらす。OTシステム内の既存の機能や通信方法を利用することで、サイバー犯罪者は高度な技術やスキルがなくても効果的に運営を人質に取れる。組織がOTシステムに依存する一方で、このような攻撃の可能性を認識し、環境を確保するための積極的なステップを取ることがますます重要になる。状況が進化する中で、設計からシステムを安全に保つことはこれまで以上に重要になるよ。
タイトル: Dead Man's PLC: Towards Viable Cyber Extortion for Operational Technology
概要: For decades, operational technology (OT) has enjoyed the luxury of being suitably inaccessible so as to experience directly targeted cyber attacks from only the most advanced and well-resourced adversaries. However, security via obscurity cannot last forever, and indeed a shift is happening whereby less advanced adversaries are showing an appetite for targeting OT. With this shift in adversary demographics, there will likely also be a shift in attack goals, from clandestine process degradation and espionage to overt cyber extortion (Cy-X). The consensus from OT cyber security practitioners suggests that, even if encryption-based Cy-X techniques were launched against OT assets, typical recovery practices designed for engineering processes would provide adequate resilience. In response, this paper introduces Dead Man's PLC (DM-PLC), a pragmatic step towards viable OT Cy-X that acknowledges and weaponises the resilience processes typically encountered. Using only existing functionality, DM-PLC considers an entire environment as the entity under ransom, whereby all assets constantly poll one another to ensure the attack remains untampered, treating any deviations as a detonation trigger akin to a Dead Man's switch. A proof of concept of DM-PLC is implemented and evaluated on an academically peer reviewed and industry validated OT testbed to demonstrate its malicious efficacy.
著者: Richard Derbyshire, Benjamin Green, Charl van der Walt, David Hutchison
最終更新: 2023-07-18 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2307.09549
ソースPDF: https://arxiv.org/pdf/2307.09549
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。