ICS攻撃オペレーションの複雑な世界
産業用制御システム(ICS)に対する攻撃的なオペレーションは、一般的に「悪者が侵入して電気が消える」というような理解をされており、この見方は多くの人が依然として伝えています。破壊的・破滅的なサイバーオペレーションは単純ではなく、複雑です。何年もの時間や、お金、研究、そして通常自らの専門性で貢献するチームや個人の力が必要です。
- こうしたオペレーションは、組織、法律、経験等を通して創られたそれぞれの責任の産物であることもあります。こうしたメンバーの一部は、できることやできる範囲が限られています。例えば、米国では諜報機関へのアクセスとエフェクトのオペレーションは、異なる法的権限です。(タイトル50、タイトル10)
- あるいは、特定のチームや個人がミッションの特定の部分を実行するのに必要なスキルと知識を構築するのに何年も費やしてきており、こうした専門化の産物であることもあります。
- 時には、それは、2カ国が協働するような、広範囲にわたる共同作業です(例: 外国の技術援助)。
- 作業の一部は産業オートメーションやエンジニアリング研究室の研究者によって行われ、後から知らないうちに大きな軍事任務に組み込まれることがあります。
- 時には、コンピュータサイエンス、化学、電気、物理学などの分野にわたる専門知識が、国際的な法的感度のため、危険で壊滅的な悪影響を制限するために使用されることがあります。
- 法的枠組みはあるグループの行動を禁じても、他のグループの行動を禁じ得ないことがあるので、両グループの利益のための共同作業が可能になります(例えば「暗黙の了解的な」アプローチ)。このタイプの協力は、個人や私的な機関が国家のために行う攻撃オペレーションでよく見られます。
いずれにせよ、世界で最も複雑な侵入攻撃には、さまざまな要素が共に取り組むという特徴がみられます。
ICS攻撃オペレーションの帰属の困難さ
ICS攻撃オペレーションは複雑で「厄介な」性質を持つため、単一の実体に帰属することができない場合がしばしばあります。ICSオペレーション全体を、単純に少数の合致要素のみに基づいて単一の(特定または一般の)実体に限定することは、重大な誤りです。 XがYと一致する要素がいくつかあるため、「オペレーションX」は「グループ Y」の仕業である、と簡単に言うことは可能です。 しかし、もしXが実際はW、Y、Zの合同オペレーションだったとしたら、この発言は間違いであり、誤解を生じさせるものであるということになります。たとえ、部分的には、正しいとしてもです。
さらに、ICSサイバー攻撃オペレーションは、ダメージや混乱に対する何らかの反応や報復の可能性があるため、オペレーション集団は大きなリスクを抱えます。こうした反応の可能性を減らすために、エフェクトオペレーションでは虚偽の情報が与えられる可能性が通常よりも高くなります。こうした虚偽の情報によって否認したり、報復を無実のグループに転嫁したりできるのです。
アクセスとエフェクト
一般に、ICSの破壊的・破滅的なオペレーションには、アクセスオペレーションとエフェクトオペレーションの2つの要素があります。ほとんどすべての場合において、エフェクトを引き起こす前にアクセスが必要です。それゆえ、これらは2つの必要な要素といえます。
アクセスオペレーションでは、ターゲットとなるネットワークへの(例えば悪用するための)アクセスを取得します。取得されたアクセスは、スパイ活動を実施したり、将来の計画のために維持されたり、またはエフェクトチームなどの他チームの活動に使用されたりするのです。
エフェクトオペレーションでは産業用デバイスを操作し、産業プロセスの可視性や制御を拒否、低下、中断、または破壊します。
しかし、ICSのアクセスとエフェクトは、同じ個人、グループ、あるいは政府でさえない可能性があります。決定的な効果をもたらすために産業用制御システムの理解が必要ですが、使える時間、コスト、専門知識によっては「エフェクトチーム」がネットワークを悪用することが全くできず、産業用制御装置を操作することしかできない場合があります。実際、「石油ダウンストリームおよびガス精製エフェクトチーム」や「発電エフェクトチーム」など、目的に応じて異なるエフェクトチームが存在する可能性があります。なぜなら、産業環境が大きく異なっている可能性があるからです。
したがって、ICSの脅威を理解する上で、我々はアクセスオペレーションとエフェクトオペレーションを区別します。ICSの脅威アナリストが、「現時点で、この脅威はアクセスオペレーションに限定されているという証拠を示唆している」と述べることがよくあります。つまり、プロセスの制御や可視部分の操作はなく、ネットワーク悪用とデータ漏洩の可能性があることを確認しただけという意味であり、それは重要な違いなのです。
意図と環境の準備
ICS環境への侵入行為が、すべて破壊的または破滅的な影響をもたらすわけではありません。産業制御システムへの不正なアクセスは混乱を招く可能性があるというのが筆者とDragos社の立場ですが、それは敵の意図ではないかもしれません。将来の不測事態(例えば、潜在的な軍事紛争)に備えて産業環境へのアクセスを単に持っているだけで十分だという場合があります。このような場合、敵はICSの混乱が必要になった場合に有利になるように「環境の準備」に取り組んでいるといえます。これが、Dragos社がほとんどのICS攻撃オペレーションに意図を結びつけない理由です。意図というのは、コンピュータオペレーションにおいて必ずしも明確ではない、人的な要素です。
もちろん、産業プロセスへの事前アクセスは防御側にとっては良くないことであり、産業用制御システムにとって明らかに実在するリスクのはずです。ただし、アクセス権があるからといって、敵が損害を与えたり破壊的なことを望んでいるともいえないのです。それらは別の考えであるべきです。
国家政治の拡張
現時点では、ICS攻撃オペレーションは、国家や、それと同様に重点的に取り組んでリソースを持っている実体に限られています。それらは国家政治の拡張であり、現代の国家が権力と影響力の行使のために使用する一つの要素です。ICSの混乱の影響は深く広く、その地理的地域への影響だけでなく、社会的および心理的な側面を持ちます。産業用制御システムはそれ自体に価値はありません。その価値は、産業用制御システムが管理している産業プロセスの生産活動と、守っている生活や環境に結びついています。産業用制御システムへの攻撃は最終目標ではなく、最終手段です。制御システムを攻撃するときは、コンピュータやデータを攻撃するのではなく、それらのプロセス(電力、ガス、食品、医薬品など)とそれらに頼っている人々を攻撃することになります。
この事実はまた、これらの(またはいかなる)サイバーによるICS攻撃エフェクトが、ジュネーブ条約、「jus in bello、すなわち戦時国際法(laws of warfare)」、その他同様の保護を包含する「武力紛争の法律(LOAC)」の行使に必要な「武力」責任に該当するかどうかという疑問を投げかけています。現時点では、この疑問は国際的な法的コミュニティにおいて未解決のまま残されています。つまり、産業用制御システムに対する国家のサイバーオペレーションの行動は、他の国家政治の要素に比べると標準的でなく、無実な民間人の命を危険にさらす可能性があります。
結論
- ICS攻撃オペレーションは困難で費用がかかるため、通常は複雑な組織の特徴がみられます。
- しっかりとした洞察なしにICS攻撃オペレーションを正確に帰属させることは困難であり、間違っていたり誤解を招いたりする可能性が高いといえます。
- ICS攻撃オペレーションは、産業環境へのアクセスおよびエフェクトをもたらすことの2つの要素として理解することができます。どちらも別々に分析され理解されています。
- すべてのアクセスが産業プロセスの中断を招くことを目的としているわけではなく、不測の未来に有利になるように事前準備している可能性があるため、意図を正確に判断することが難しくなっています。
- ICSオペレーションを孤立したものとして理解することはできません。国家政治のより広い内容において影響を及ぼし、国際的な法的枠組みや規範の複雑さを含む変化を引き起こしています。
ICS攻撃オペレーションは、無数の民間団体、個人、および国家を巻き込んでいる、影が多く複雑なビジネスであり、こうした登場人物は協力したり、競争したりしています。ICSの脅威は単純なものではなく、その長期的影響は致命的となる可能性があります。我々は、ICSの脅威に対して、直面する状況に応じた深刻さをもって対処しなければなりません。また、複雑な問題に関して単純な視点から結論や誤った判断に飛びつく前に、それらを理解しようと努めるべきなのです。
リンク:
[1]“Demystifying the Title 10-Title 50 Debate: Distinguishing Military Operations, Intelligence Activities & Covert Action” by Andru E. Wall https://www.soc.mil/528th/PDFs/Title10Title50.pdf
[2]共同出版物 3-12参照 (https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_12.pdf)
[3]Introduction to the Law of Armed Conflict, International Committee of the Red Cross: https://www.icrc.org/en/doc/assets/files/other/law1_final.pdf
[4]The Law of Armed Conflict: Conduct of Operations, International Committee of the Red Cross: https://www.icrc.org/en/doc/assets/files/other/law3_final.pdf
元記事:https://dragos.com/blog/industry-news/the-complex-world-of-offensive-ics-operations/
Dragos社の産業用サイバーセキュリティプラットフォームは、高度な脅威分析を体系化し、OTとITの実践者にこれまでにない可視性と規範的な手順を提供して、産業界の脅威世界の敵対者に対応します。 Dragosプラットフォームを使用すると、ICSサイバーセキュリティ担当者は独力でICS資産を識別し、ICSの脅威を検出し、ICSサイバーセキュリティ固有の対応を決定できます。 Dragos社の製品には以下のものがあります。ICSの脅威の検出と対応のためのDragosプラットフォーム、 ICSの脅威の狩猟と事件対応サービスのためのDragosの脅威オペレーションセンター、毎週の脅威インテリジェンスレポートであるDragos ICS WorldViewです。 Dragos社のプラットフォームは、米国の諜報機関および民間の産業会社にまたがるICSサイバーセキュリティ専門家のエリートチームの数十年にわたる実際の経験を活かしています。 詳細についてはdragos.comをご覧ください。