狙われているエアギャップシステム

エアギャップシステムはコンピュータネットワークにおいてセキュリティを高める方法の一つで、ほかのネットワークから物理的に隔離されたネットワークです。
物理的に隔離することで通常の利用者の利便性は低下します。
しかしそれと同時に脅威アクターにとっても犯罪実現の容易性は変化します。
しかし、隔離が必要なほどの重要性を持つシステムです。脅威アクターがそこに目をつけないわけがありません。
実際に多くの事例が観測されています。
最近の事例における感染の流れを見てみましょう。

• エアギャップの外側で準備する
  エアギャップの中と外を繋ぐのはUSBメモリなどのリムーバブルメディアです。
  感染行為によってエアギャップの外側に活動の土台となる環境を構築し、この後のステップのための情報収集を開始します。
  環境の情報を収集できたら、攻撃を継続するかを判断します。
  そしてその外側の環境を使って、リムーバブルメディアに攻撃ツールを仕掛けます。
  それと同時に外側の機器の情報を持ってきてしまわないように外側の機器にラベルを施します。
  ちなみに、この段階で悪用される技法の中には、正規の古くて脆弱なアンチウイルス機構を悪用したDLLハイジャックが含まれます。
  皮肉な話です。

   

• リムーバブルメディアの中身の準備
  構築されるリムーバブルメディアの中身もよく練られています。
  攻撃に使用するツールはリムーバブルメディアのなかに置かれます。
  ツールの構成は脆弱なアンチウイルス機構の実行ファイルと加工済みのDLLとルアー用のLNKファイルです。
  そして持ち出すデータを置く場所は「$RECYCLE.BIN」ディレクトリです。そうです、ごみ箱ですね。

   

• エアギャップの中での活動
  こうして仕掛けの終わったリムーバブルメディアがエアギャップの中に持ち込まれて、中の機器に接続されます。
  中の機器を操作する人が、リムーバブルメディアのなかのルアーを開きます。
  そうするとリムーバブルメディアのなかのwormが中の機器に感染し、感染したwormは中の機器のファイルをリムーバブルメディアにコピーします。
  また、利用者の中の機器におけるキーボード入力の情報やスクリーンショットなどの情報も取得し、これもリムーバブルメディアにコピーします。
  リムーバブルメディアのなかにあるwormは必要な仕事が終わったら自己消滅する機構が搭載されています。

こんな流れでエアギャップの中の情報を持ち出します。
ここまでくれば、あとは収集した情報を外部のC2に送信するだけとなります。

こういった脅威にはどう対応するのが良いでしょうか。
定期的なリムーバブルメディアのアンチウイルスでのスキャンは実施したいです。
エアギャップの中に限らないとも思えますが、利用できるアプリケーションに制限をかけるのも有効そうに思えます。
そういった技術的アプローチのほかに、何者かわからない今回のLNKファイルのようなものを不用意に開かない、という人に対するケアも重要に思えます。

エアギャップ機構を使用することを選択して物理的に隔離することで減らせる脅威は確かにあります。
しかし安全性を高めることができているという気持ちが油断を生むという面があるかもしれません。

参考記事（外部リンク）：Common TTPs of attacks against industrial organizations.
Implants for gathering data
ics-cert.kaspersky.com/publications/reports/2023/07/31/common-ttps-of-attacks-against-industrial-organizations-implants-for-gathering-data/