サイバーセキュリティにおいて最悪のシナリオは、悪意のあるハッカーが重要なインフラストラクチャへのアクセスを得ること、すなわち、その制御を行えるようになることです。そのシナリオで、犯罪者や国民国家の攻撃者は、別の深刻な結果に加えて、人命が危険にさらされる状況に至るまでエクスプロイトを利用できる可能性があります。そしてもちろん、その最悪のシナリオが真の悪夢となるのは、悪意のある攻撃者が原子力発電所やミサイルへのアクセスを得た場合の結果を想像するときです。
わたしたちの大半は、原子力発電所は、考え得る最も高度なデジタルセキュリティで保護されるのが当然の、防護された標的であると考えています。あるいは少なくとも、そうであることを望んでいます。実際にはどうでしょうか。今回の、Trustwave SpiderLabsのプリンシパルセキュリティコンサルタントであるCharles Hamiltonとのインタビューでは、ある原子力発電所のペネトレーションテスト訓練を実施した彼の経験について聞きます。安全上の理由で、訓練が実施された場所と時期は明らかにしません。
Q:実際に原子力発電所をハッキングしたのですか?
Charles:はい、これはペネトレーションテストの一環でした。多くの細部については、言うまでもない理由のため、明かすことができません。しかし、わたしは実際に複数の発電所をテストしました。
今日お話しするテストでは、悪意のある攻撃者としてふるまうわたしは、発電所へのアクセスを得たときに、管理ソフトウェアは実際にはWindows NT 4.0であることを知りました。それが適切であったのはずっと以前のことです。
この取り組みの主眼は、もちろん、攻撃者が原子炉の制御を得る段階に到達できるかどうかを知ることです。ありがたいことに、それが可能な場合はめったにありません。企業ネットワークと実際の発電所の間には、物理的な障壁が存在するためです。意図的にそうなっていて、それが、ハッカーがメルトダウンを引き起こせないようにする役目を果たすはずです。
イランの核能力を標的にするために設計されたワームのStuxnetを覚えているでしょうか。誰がそのエクスプロイトを設計したにせよ、物理的な障壁があるのを前提にエクスプロイトを構築しました。UBSを介して広がるように作られたのはそれが理由です。攻撃者は、USBが実際に原子炉環境に挿入されていることを知っていたのです。しかしそれは、ペネトレーションテストが何を発見するよう設計されているかの範疇を超えた種類の活動です。
Q:ペネトレーションテストの間に何を発見しましたか?
Charles: わたしが発見した最初の主要な脆弱性は、発電所が外注した請負契約作業によるものでした。原子力発電所は、他の構造物と同様に、時折修理が必要になります。この場合は、請負業者が、強固なレベルのセキュリティを備えていないWi-Fiスポットを設置したのです。その手段を介して、わたしは実際、企業ネットワークにまったく簡単に入り込むことができました。
わたしが中に入ると、それは他の企業ネットワークと同様のもので、多数のWindowsシステムとLinuxシステムが含まれていました。そしてこの場合は、Windows NT 4.0も実行されていた、というのが実際のところです。わたしはネットワークに直接アクセスすることができ、モニタリングツールのような興味深いものにいくつかアクセスできました。
関連する例では、風力発電ファームをテストし、同じように構成されていることを知りました。ネットワークの階層が設けられていて、リモートからは、タービンを物理的に制御していた実際のシステムには到達できず、直接の物理的アクセスが必要になるのです。ですので、わたしたち皆がありがたく思える状況になっています。
Q:あなたが悪意のある攻撃者であったとすれば、得られたアクセスを使って何を行うことが可能でしたか?
Charles: およそ1、2時間のうちに、ドメインレベルの特権が得られました。発電所の稼働状況に関する情報を取得できる状態になっていたのです。わたしがスパイの仕事に就いていたり、国民国家による実際の妨害活動に関与していたりした場合、圧力率などの情報を見ることができました。この特定の場合には、発電所はその時点で実際には停止されてました。メンテナンス中であったためです。ペネトレーションテストは、実際のところ、発電所をオンラインに戻す作業の一部であったため、発電所側が先を見越して行動していて、脆弱性をあばくことに熱心であったのは幸いでした。
Q:組織が認識しておくべき重要なポイントはありますか?
Charles: もちろんです。重要なインフラストラクチャとは関係がない企業や組織にとってさえ意味がある、ここでの重要な教訓は、企業ネットワークはいつでも最も脆弱なポイントの1つになるということです。外部の攻撃者の視点からは、フィッシングエクスプロイトが絶えず継続的に行われます。企業ネットワークは、外部境界と同じくらい脆弱であると常に考えてください。
ペネトレーションテストを実施するときはほとんどの場合、実際には外部境界の方が少し安全性が高いことが判明します。これは、外部境界はパブリックネットワークに面しているためです。組織はこの境界を内部より少し多く強化する傾向があり、残念ながら社内ネットワークが、脅威にさらされる度合いが少し多い状態のままになります。 組織がインターネットを含むパブリックネットワークを強化するのは不可能なため、ここでの比較の対象は直前の文節の「外部境界」(社内ネットワークとパブリックネットワークの間の部分)と社内ネットワークとしました。最小限補う処理としました。
SolarWindsのような事件について考える場合、米国でインフラストラクチャグリッドの安全性がどれだけ確保されているかに関して、どのような意見をお持ちでしょうか。 エクスプロイトの難解さのおかげでセキュリティが保たれている ために、たいていの場合は安全である、というのが現実です。SolarWindsのような事例を調査すると、その種の エクスプロイトには膨大な時間とかなり多くの費用が必要でした。それは実際には、おそらく手早くもうけるためだけに活動している平均的なハッカーが手を出せる領域ではないのです。
FACT SHEET
Trustwave SpiderLabsがSolarWinds製品に新たな脆弱性を発見
Trustwave SpiderLabsが発見したSolarWindsの脆弱性に関するファクトシートをダウンロードできます。3つの脆弱性はいずれも深刻で、最も深刻なものは高い権限でリモートコードを実行できるものです。(英語)