サイバー攻撃: お客様の現在の産業用セキュリティ戦略は十分ですか?

ランサムウェア攻撃: お客様のシステムの運用状況は安全ですか?

サーバとクライアントがバックアップされて稼働し、制御、視覚化、バッチシステムなどの生産システムが運用を再開し、工場で再び商品を生産するようになった今、最近の出来事を振り返ってみましょう。

これがどのように始まったのかよく覚えています。ウェブの見出しは、「ランサムウェアにより製造会社でシステムダウン、生産停止へ」でした。

夏の朝に目覚めが悪くなるようなニュースです。

犯人はNyetyaまたはNotPetyaと呼ばれるマルウェアの一種でした。最初はランサムウェアと思われていたNotPetyaは、ワームのような伝播手法を使用するワイパーウイルスであることが判明しました。以降、これはWiperWormと呼ばれています。

Webinar: Protect Your Plant and Enterprise from Ransomware with Security Solutions. Join us Tuesday, August 10, 2017 from 12:00 p.m. - 1:00 p.m. CT.

チームは計画を策定して、とるべき行動を慎重に選択し、目的に持って実行しました。通常、効果的な対応は『コンピュータ・セキュリティ・インシデント対応ガイド』(米国標準技術局(NIST) Special Publication 800-61)に規定されたプロセスに従っています。

まず、影響の度合いを評価し、原因を分析することで、インシデントを封じ込める適切な手順を取ることができます。しかし、多くの場合、これができていませんでした。

いくつかの企業では、産業用制御システムのネットワークに接続されたすべてのWindowsコンピュータが、NotPetya WiperWormの攻撃を受けました。

感染したシステムを回復させるために、次にとるべき論理的ステップは、既存システムのバックアップを調べて回復の試みを開始することです。

バックアップが存在しない場合は、すべての生産システムを最初から再構築する必要があり、費用と時間がかかる厳しい状況に陥ります。

幸いにもバックアップが存在する場合は復元が可能ですが、確実な復元アプローチとしては、再感染を防ぐために、復元されるシステムを隔離されたネットワークに配置する必要があります。

優れたサイバーセキュリティの研究者やエンジニアによる迅速な対応により、再感染を防ぐ方法に関する重要な情報が提供されました。

  • MS17-010の脆弱性にパッチを当てることで、EternalBlueとEternalRomanceのエクスプロイトがシステムに侵入するのを防ぐ。
  • wmicを無効にする。
  • C$ADMIN$のような管理共有をすべて遮断するレジストリ修正を実装して、伝播ベクトルのいずれかを切断する。

復旧の過程において、一部の企業では課題に直面しました。というのは、WiperWormの伝播手法の一部が生産アプリケーションの主要機能としても使用されており、それを無効にしたり、それに対するアクセスを制限したりすることが必ずしも現実的な選択肢にならなかったからです。

重要なポイントは何でしょうか。WiperWormに対する最も効果的な対策は、適切なセキュリティプラクティスを遵守することです。大切なのは基本です。この主題に関しては無数の記事が存在しますが、重要ポイントは多くはありません。

  • システムのセキュリティを強化してから生産に投入する。
  • 可能であれば制限されたユーザアカウントで実行する。
  • システムにパッチを当て、ウイルス対策またはエンドポイントセキュリティの優れたソリューションに投資する。

主要なサポートサービスは、産業用制御システム環境内にこのような適切なセキュリティプラクティスを実装できるように支援します。

検証済みWindowsパッチサブスクリプション

この種のサブスクリプションサービスは、産業用コンピューティング環境に最新の検証済みWindowsパッチを提供します。例えば、当社では、アプリケーションが影響を受けるリスクを低減するために、堅牢なテスト環境で検証を行なっています。お客様のWindows Server Update Services (WSUS)サーバを、当社の管理されたクラウドベースのWSUSに接続することで、パッチを入手できます。

WSUSでパッチを入手後、お客様は独自のスケジュールに従ってシステムにパッチを適用できます。ネットワークおよびセキュリティサービスでは、必要に応じて、社内の産業用パッチ適用ポリシーおよび手順の開発や変更の支援も行なっています。

eBook: 産業用セキュリティ: 急速に変化する脅威の環境からネットワークと設備を保護

リモートパッチとウイルス対策の管理

この種のサービスは、Windowsパッチやウイルス定義の背後にある関連するリスク、および不適切なパッチ適用手順に関連するリスクを緩和するのに役立ちます。

例えば、当社では産業用コンピューティング環境へのセキュアなリモート接続を確立して、インフラとイメージの状態を監視し、環境に対する変更を管理します。

その後、お客様と協力して、生産に投入する前に、パッチ適用やウイルス定義の更新のタイミング、および画像やアプリケーションの機能をテストする手順を確立します。

リモートバックアップ管理

最後に、この種のサービスは、サービスの迅速な復旧を支援するために、バックアップを持たないことや専門知識へのリモートアクセスに関連するリスクの軽減に役立ちます。このサービスは、バックアップの整合性を監視して復元を実行するための堅牢なバックアップ機能を提供します。例として、当社では以下を提供しています。

  • 産業用コンピューティング環境にバックアップアプライアンスを導入し、システムのバックアップ頻度と保持要件を満たすように構成する。
  • アプライアンスとバックアップが正常であるかリモートモニタを実行する。
  • リモート復元サービスをオンデマンドで実行して、イメージを以前の「正常」な状態に復元する。

WiperWorm、RansomWare、またはその他のほとんどのマルウェアの発生を防御するには、最も効果的な戦略は常に準備しておくことです。

マルウェアの発生を防ぐには、システムにパッチを適用し、強化してください。阻止できない場合は、重要な生産システムをバックアップから復元する準備が整っていることを確認してください。

準備しているのとしていないのとでは、常に稼働状態を保てるか、あるいは生産システムを完全に再構築しなければならなくなるかの大きな差があります。

当社の産業用セキュリティサービスでセキュリティ上の脅威から生産を保護してください。

Pascal Ackerman
投稿日 2017-07-14 投稿者 Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation
  • お問い合わせ:

お問い合わせ

ロックウェル・オートメーションならびに当社パートナの仕事は優れた知識を通じて、自動化の設計と導入をお手伝いしその投資がいかされるようサポートすることです。

最新ニュース

ロックウェル・オートメーションにご登録いただければ、最新のニュースと情報を電子メールにて直接お届けします。