Kaspersky Lab、2017年上半期における産業用制御システムを取り巻く脅威に関するレポートを公開、攻撃を受けたICSコンピューターの3分の1は製造業のもの

2017年11月09日
ウイルスニュース

[本リリースは、2017年9月29日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Lab のICS CERTは、「2017年上半期の産業用自動化システムの脅威の状況」レポート(Threat Landscape for Industrial Automation Systems in H1 2017)を発表しました。これによると、カスペルスキー製品が保護している産業用制御システム(ICS)コンピューターのうち、攻撃を受けたコンピューターの約3分の1が製造業に属することが判明しました。

■ICSコンピューターへの攻撃(カスペルスキー製品での観測、2017年1~6月)

  • カスペルスキー製品が保護している数万台のICSコンピューターのうち、37.6%で攻撃を検知しました。この割合は2016年下半期から1.6ポイントの減少です。
  • 攻撃を検知したICSコンピューターを業種別にみると、原材料、装置、製品など製造(31%)が最も多く、エンジニアリング(24.5%)、教育(14.5%)、食品・飲料(9.7%)、エネルギー(4.9%)でした。

vir09112017-chart-01.png

図1:攻撃を検知したICSコンピューターの業種別割合(2017年1~6月)

  • 産業用自動化システムで検知したマルウェアの亜種は合計約18,000種類にのぼり、そのファミリーは2,500種類を超えています。
  • 感染のソースはインターネット経由が多く、ICSコンピューターの20.4%でマルウェアのダウンロード、既知の悪意あるWebリソースやフィッシングサイトへのアクセスを検知しました。主な理由は、企業ネットワークと産業用ネットワーク間のインターフェース、産業用ネットワークから制限付きでのインターネットアクセス、産業用ネットワーク上のコンピューターが携帯電話網(携帯電話の利用、USBモデムや3G/LTEをサポートするWi-Fiルーター)を通じてインターネットへ接続できる環境、などにあります。日本ではメール(10.06%)が最も多く、インターネット経由は2番目(7.99%)でした。
  • 攻撃を検知したICSコンピューターの上位3か国は、ベトナム(71%)、アルジェリア(67.1%)、モロッコ(65.4%)となり前回と変わりませんが、5位の中国(57.1%)への攻撃が増加していました。日本は21.9%でした。

vir09112017-chart-02.png

図2:ICSコンピューターに対する感染の主なソース(2017年1~6月)

■ICSコンピューターへのランサムウェア攻撃(カスペルスキー製品での観測、2017年1~6月)

2017年上半期にはランサムウェアが世界的に大流行し、その影響は産業界にも及びました。

  • 企業の産業インフラにあるコンピューターの0.5%で、少なくとも1回以上、暗号化型ランサムウェアの攻撃を検知しました。
  • 世界63か国のICSコンピューターで、暗号化型ランサムウェア攻撃を検知しました。
  • 暗号化型トロイの木馬による攻撃を検知したICSコンピューターの数は、1月の43台から6月には3倍の131台に増加しました。全体で33種類のファミリーに属する暗号化型ランサムウェアを発見しました。しかし、検知したマルウェアの中で、産業用自動化ソフト用に特化したプログラムは見つかりませんでした。
  • 暗号化型トロイの木馬の主な手段は、ビジネスメールを装ったスパムメールであり、悪意ある添付ファイルもしくはマルウェアのダウンローダーへのリンクが含まれていました。
  • 暗号化型ランサムウェア攻撃の上位は、WannaCry(13.4%)、Locky(10.7%)でした。悪名高いExPetr(5.9%)の攻撃対象は、石油・ガス(25.5%)や製造(25.2%)に多くみられました。

Kaspersky Labの重要インフラ保護部門責任者、イェヴゲーニー・ゴンチャロフ(Evgeny Goncharov)は次のように述べています。「ICSコンピューターに対する全攻撃の約3分の1が製造企業だという調査結果は、セキュリティ上の大きな懸念事項であり、企業の産業用自動化システムがサイバー攻撃による損害を受け、事業全体に深刻な影響が及ぶ危険性が高いことを意味しています。今年前半の6か月で暗号化型マルウェアの活発な拡散を確認しており、この傾向は今後も続くと考えています」

■ICS環境をサイバー攻撃の危険から保護するための推奨する対策

  • ファイルシステムオブジェクトへのリモートアクセスを提供しているサービスには特に注意して、実行しているネットワークサービスの一覧表を作成する。
  • 制御システムの監査によって、ICSコンポーネントのアクセス分離、産業ネットワークとその境界を越える通信、リムーバブルメディアやポータブルデバイスの使用に関連するポリシーと運用ルールを明確にする。
  • 産業ネットワークに対するリモートアクセスのセキュリティを検証し、リモート管理ツールの使用を最小限にするか、完全に禁止する。
  • エンドポイントセキュリティソリューションを最新の状態に保つ。
  • 高度な保護手段を活用する。産業ネットワークのトラフィックを監視し、サイバー攻撃を検知するツールを導入する。

Kaspersky Lab ICS CERTレポートの詳細および全文(PDF)は、Securelist.com「Threat Landscape for Industrial Automation Systems in H1 2017」(英語)でご覧いただけます。