【電子版】デジタル編集部から（３７）重要インフラ・産業施設のサイバーセキュリティー（上）

[ オピニオン ]

サイバーセキュリティーパロアルトネットワークス重要インフラ産業施設ＩＣＳＳＣＡＤＡＯＴＩｏＴマルウエアサイバー攻撃

(2017/3/13 05:00)

米パロアルトネットワークスのデル・ロディヤス氏（ＩＣＳ／ＳＣＡＤＡソリューションリーダー）に聞く

パロアルトネットワークスのロディヤス氏

技術が年々高度化し、手口も巧妙化してきているサイバー攻撃。しかも、狙われるのは個人のパソコンやＩＤ、企業・官庁などの組織のＩＴシステムとは限りません。発電所や鉄道といった重要インフラや、工場などの産業施設も攻撃の対象に浮上してきています。そこで、サイバーセキュリティー大手、米パロアルトネットワークス（カリフォルニア州）での専門家としてＩＣＳ／ＳＣＡＤＡソリューションリーダーを務めるデル・ロディヤス（Ｄｅｌ　Ｒｏｄｉｌｌａｓ）さんに、重要インフラに対するサイバー攻撃の現状と、そうした脅威から施設を守るための対策について聞きました。

国内でも高い関心

ー今回の来日の目的は？

「ＩＣＳ（産業用制御システム）やＳＣＡＤＡ（リモート監視・制御システム）についてサイバーセキュリティーの戦略立案をしている政府関係者との打ち合わせや、民間事業者との意見交換のための会合が中心だ。実は１年半前にも来日しているが、その時と今とでは反応が全く違う。以前は関心のある人を探すのが大変だった。今回はＩＣＳ、ＳＣＡＤＡ、それにＩｏＴ（モノのインターネット）関連でセキュリティー確保の準備をしようと、多くの関係者が脅威の傾向や米国での対策のベストプラクティス（成功事例）を知りたがっている」

ＩＴとＯＴの連携が課題に

ー重要施設のサイバーセキュリティー対策については、米国の方が進んでいるかと思いますが、日本の状況はどう映りますか。

「日本のユーザーベースを見ると、産業機器のリスクはより目に見えるようになってきている。日本の皆さんにも米国や欧州、中東などでの事件が耳に入っているようだが、強調したいのは世界各国で起こったことは、日本でも起こり得るということ。興味深いことに、日本が先行する分野もある。米国は電力系での対策が水道施設より進んでいるが、日本では逆に水道施設の方が電力より進んでいる」

「これまでの日本の政策関係者や事業者との会合で要望として出てきているのが、教育やトレーニングをきちんとしてほしいということ。さらに日本ではＩＴとＯＴ（運用制御技術）での分断も顕在化している。ＩＴとＯＴでどう協力していったらいいのかという質問をよくされる。米国で両者の協力を後押ししているのが法律だ。サイバー攻撃を受けると情報漏洩やランサムウエアでの身代金以上に、電力供給が停止するなど社会的・経済的な影響が非常に大きい。これについてはＩＴ側もＯＴ側も共通の理解を持ち、協力や情報共有がしっかりできている」

複数手法の組み合わせで対処

ーイランの核燃料施設のＳＣＡＤＡシステムを狙いにした「スタックスネット」や、ウクライナの発電所を停電に追い込んだサイバー攻撃といった事例から、どんな教訓が得られますか。

「サイバー攻撃の数が増えているだけでなく、内容の高度化が見られる。もともとＩＴ側は高度な攻撃にさらされていたが、ＩＣＳの世界でも標的型攻撃（ＡＰＴ）が見られるようになってきた。ＩＣＳでもまずメールの添付ファイルを開かせたり、ダウンロードさせたりしてマルウエア（悪意のあるプログラム）を感染させ、システム内で居場所を確保する。次いで、外部の攻撃側と通信をやり取りしたり、内部で情報を収集しＩＣＳでのユーザーのアクセス権限を探す。知っておいてほしいのは、ビジネス側とＯＴ側とでシステムを分離していても、忘れられた接続ポイントから侵入されることがある。ウクライナの事例も、ビジネスネットワークでのマクロが添付された電子メールが発端となって、マルウエアがＳＣＡＤＡにアクセスしていった」

「攻撃にはいくつかの段階があり、段階に応じたマルチメソッドのアプローチで、抑止・防止・マルウエア検出という対策を打っていける。ウクライナで攻撃が起きたのは２０１５年１２月だが、その後の分析で、同年４月にマルウエアが侵入し、数カ月の間、潜伏していたことがわかった。複数の手法を組み合わせることで、検出までの期間を数カ月ではなく数時間や数分に短縮することが可能になる」

マルウエアの亜種が跋扈

ーウクライナで使われたマルウエアの亜種が出回っているとの話もありますが。

「発電所を狙ったマルウエアは『ブラックエナジー３』と呼ばれるが、その前にブラックエナジー１や同２として出回っていた。攻撃者は少しずつ変異させながら同じマルウエアを使ってくる。特徴を少し変えれば、従来のアンチウイルスソフトでは同じものと認識されずにシステムに侵入できる。電力だけでなく、石油・ガス関連でも同じことが起きている。当社の調査では、過去に中東の石油関連のワークステーションに侵入したマルウエアと、ほぼ同じものが最近登場している」

「１２年にサウジアラビアの石油会社であるサウジアラムコの３万台のワークステーションが『シャムーン』というマルウエアで破壊され、１６年１１月にはほぼ同じ『シャムーン２』が別の産業分野のサイバー攻撃に使われている。こうした亜種も含めて、防御を欺くため、攻撃者はこれまで見たことのないマルウエアを投入してくる。ただ、レガシーのアンチウイルスソフトでは検知できないゼロデイウイルスによるゼロデイアタックでは、高度な対策が必要になるものの、攻撃を止める技術は存在する。そのようなコンセプトが存在するんだという認識をまず広めたい」

（続きは２０日掲載予定）

(2017/3/13 05:00)