SecurityInsight | セキュリティインサイト

カスペルスキー、2017年上半期における産業用制御システムを取り巻く脅威に関するレポートを公開

カスペルスキーは11月9日、Kaspersky Lab のICS CERTが「2017年上半期の産業用自動化システムの脅威の状況」レポートを公開したことを発表した。これによると、カスペルスキー製品が保護している産業用制御システム(ICS)コンピューターのうち、攻撃を受けたコンピューターの約3分の1が製造業に属することが判明したという。

■ICSコンピューターへの攻撃(カスペルスキー製品での観測、2017年1~6月)
・カスペルスキー製品が保護している数万台のICSコンピューターのうち、37.6%で攻撃を検知した。この割合は2016年下半期から1.6ポイントの減少。

・攻撃を検知したICSコンピューターを業種別にみると、原材料、装置、製品など製造(31%)が最も多く、エンジニアリング(24.5%)、教育(14.5%)、食品・飲料(9.7%)、エネルギー(4.9%)だった。

・産業用自動化システムで検知したマルウェアの亜種は合計約18,000種類にのぼり、そのファミリーは2,500種類を超えている。

・感染のソースはインターネット経由が多く、ICSコンピューターの20.4%でマルウェアのダウンロード、既知の悪意あるWebリソースやフィッシングサイトへのアクセスを検知した。主な理由は、企業ネットワークと産業用ネットワーク間のインターフェース、産業用ネットワークから制限付きでのインターネットアクセス、産業用ネットワーク上のコンピューターが携帯電話網(携帯電話の利用、USBモデムや3G/LTEをサポートするWi-Fiルーター)を通じてインターネットへ接続できる環境、などにある。日本ではメール(10.06%)が最も多く、インターネット経由は2番目(7.99%)だった。

・攻撃を検知したICSコンピューターの上位3か国は、ベトナム(71%)、アルジェリア(67.1%)、モロッコ(65.4%)となり前回と変わりないが、5位の中国(57.1%)への攻撃が増加していた。日本は21.9%だった。

■ICSコンピューターへのランサムウェア攻撃(カスペルスキー製品での観測、2017年1~6月)
・企業の産業インフラにあるコンピューターの0.5%で、少なくとも1回以上、暗号化型ランサムウェアの攻撃を検知した。

・世界63か国のICSコンピューターで、暗号化型ランサムウェア攻撃を検知した。

・暗号化型トロイの木馬による攻撃を検知したICSコンピューターの数は、1月の43台から6月には3倍の131台に増加した。全体で33種類のファミリーに属する暗号化型ランサムウェアを発見した。しかし、検知したマルウェアの中で、産業用自動化ソフト用に特化したプログラムは見つからなかった。

・暗号化型トロイの木馬の主な手段は、ビジネスメールを装ったスパムメールであり、悪意ある添付ファイルもしくはマルウェアのダウンローダーへのリンクが含まれていた。

・暗号化型ランサムウェア攻撃の上位は、WannaCry(13.4%)、Locky(10.7%)だった。悪名高いExPetr(5.9%)の攻撃対象は、石油・ガス(25.5%)や製造(25.2%)に多くみられた。

■ICS環境をサイバー攻撃の危険から保護するための推奨する対策
・ファイルシステムオブジェクトへのリモートアクセスを提供しているサービスには特に注意して、実行しているネットワークサービスの一覧表を作成する。

・制御システムの監査によって、ICSコンポーネントのアクセス分離、産業ネットワークとその境界を越える通信、リムーバブルメディアやポータブルデバイスの使用に関連するポリシーと運用ルールを明確にする。

・産業ネットワークに対するリモートアクセスのセキュリティを検証し、リモート管理ツールの使用を最小限にするか、完全に禁止する。

・エンドポイントセキュリティソリューションを最新の状態に保つ。

・高度な保護手段を活用する。産業ネットワークのトラフィックを監視し、サイバー攻撃を検知するツールを導入する。

 

関連リンク

プレスリリース