[ ICT ]
(2017/5/2 05:00)
-
2020年の東京五輪に向け、電力などの重要インフラや産業施設のサイバー攻撃対応が課題になっている
インターネット全盛の現代、サイバー攻撃から個人や事務所のコンピューターを守るのは当たり前。それに対して話題に上りにくいのが、電力・ガス・水道・空港・金融・情報通信といった重要インフラや、工場などの産業施設を標的にしたサイバー攻撃だ。国内で目立った被害報告はないものの、海外では大規模停電など大きな損害につながった事例もある。しかも、IoT(モノのインターネット)やインダストリー4・0といった産業向けインターネットの進展で、マルウエア(悪意のあるプログラム)などの侵入リスクは高まっている。企業や事業者にとっては、いつ起こるかわからない新たな脅威への対応が大きな課題となっている。
つながる機器・工場で侵入リスク高まる
【ウクライナ大停電】
2016年12月、ウクライナで前年に続いてサイバー攻撃による大規模な停電が発生。深夜に首都キエフ近郊の配電所が停止し、キエフの夜間電力需要の約2割に相当する200メガワットが配電不能になった。その後の調査で配電所に接続されているリモート監視・制御(SCADA)システムやワークステーション(WS)が外部から操作された痕跡が発見。攻撃者はネットワークに6カ月間も潜伏してシステムの仕組みを調べ上げ、権限情報を入手して破壊活動を行ったと見られている。
ウクライナの事件は、重要インフラに対するサイバー攻撃の代表事例として知られ、ウクライナと敵対するロシアの国家的関与が疑われている。そのほかにも、英BPが運営するトルコの石油パイプラインの爆発(08年)、独ティッセンクルップの製鉄所での溶鉱炉損傷(14年)など、海外では制御システムが狙われたサイバー攻撃のケースが出てきている。
-
ICS-CERTへの制御システムの脆弱性の報告件数
情報処理推進機構(IPA)によれば、米国土安全保障省(DHS)傘下の組織で、産業用制御システム(ICS)の脆弱(ぜいじゃく)性情報やインシデント(事故につながりかねない出来事)対応支援を行っているICS―CERTへの報告件数は、このところ年間130―190件で高止まりしているという。実はその数字は11年に一気に増加。前年の10年にワームの「スタックスネット」を使い、イランの核施設を襲ったサイバー攻撃があったためだ。
【日本でも起こる?】
IPA技術本部セキュリティセンターの金野千里次長は、「スタックスネットの事例によって制御用システムも攻撃対象になることが証明され、サイバー攻撃が増えたのに加え、事業者側が注意して探すようになったことが大きい」と急増した背景を説明する。一方で、IoTを含めたオープン化およびネットワーク化のトレンドが進む中、制御系ではセキュリティー対応が取りにくいシステム構成を抱えざるを得ない状況にある。
金野次長は「そうしたはざまで、(事故)発生のリスクが高まり、サイバー攻撃からシステムをどう守るかが課題となっている」と警鐘を鳴らす。
セキュリティー大手、米パロアルトネットワークスでICS/SCADAソリューションリーダーを務めるデル・ロディヤス氏も、「世界各国で起こったことは日本でも起こり得る。ICSの世界でも、メールの添付ファイルを開かせたりダウンロードさせてマルウエアを感染させたりする標的型攻撃が見られるようになってきた」と話す。
情報系とは違う難しさ、連続稼働や効率重視
【ITとOTの違い】
-
制御システムと情報システムでの情報セキュリティーの考え方の違い
そもそも重要インフラや産業施設のICSは、事務所などの情報システムとどう違うのだろう。制御システムは通常10年から20年という長期間にわたって使われ、サポート期限を超えた古いOS(基本ソフト)を搭載したパソコンを使っているケースさえあるという。そこではセキュリティー対策よりも、24時間365日稼働する可用性や性能効率が何より重要視される。
とりわけ重要インフラでは、電力供給などが停止した場合、人命にかかわるような事態につながりかねない。工場では生産ラインや化学プロセスが止まるだけでなく、設備が破損したり、有害物質が漏れ出したりといった被害も想定される。こうしたことから制御システムを停止するわけにはいかず、動作保証やパフォーマンス低下などの事情から、パソコンにソフトをインストールしてのウイルス監視やセキュリティーパッチの適用も難しいのが実情だ。
【ネット非接続の落とし穴】
かたやIoTやデジタルビジネスの進展でネットワークに何でもつながる時代だからこそ、「うちのシステムはネットワークにつながっていないから大丈夫」と思いがち。「ここに落とし穴がある」とITセキュリティーソリューション会社、ラックの川口洋サイバー・グリッド研究所長は指摘する。
制御系ではないものの、15年6月に日本年金機構が標的型攻撃を受け、大量の個人情報が漏えいした事件は記憶に新しい。ここで感染原因となったパソコンはネットワークにつながっていたわけではなく、特定の場合に情報系のシステムにつなげていた。「通常、事業者側では会社の内部から攻撃を受けないと思っている。だが、年金機構の場合も1人がウイルスの感染メールを開いてしまったことで内部からシステムにウイルスが広がっていった」(川口所長)。
さらに、情報系のITと制御系のOT(運用制御技術)が論理的に分断されていても、物理的にネットワークで接続されているようなケースでは、そうした分断を乗り越えてウイルスやマルウエアが感染する恐れさえあると説明する。
-
「ダサーフ」のマルウエアにハードコードされたファイル名(ラック提供)
【標的に長期間潜伏】
では、重要インフラや産業施設を狙うウイルスにはどういったものがあるのか。
ラックでは日本の重要インフラ事業者を狙った標的型攻撃に使われる「ダサーフ」を13年1月以降に対応した複数の標的型攻撃事案で確認し、分析を続けてきた。その結果、重要インフラおよび重要インフラ機器製造業者を標的とした攻撃者に使用され、長期にわたって標的組織に潜伏しながら活動している可能性が高いことがわかったという。
同社ITプロフェッショナル統括本部サイバーセキュリティ事業部サイバー救急センターによれば、企業のサーバーよりは企業の社員パソコンに潜伏している可能性が高く、そこから社内ネットワークを通じて活動を広げていると考えられる。目的は破壊行為ではなく、機密情報の窃取と見られ、同センターで対応した標的型攻撃の事案でもダサーフが使われ、情報が持ち出された可能性が高い状況にあった組織は存在する。ただ、このマルウエアが原因で被害の発生を公表した組織は確認していないという。
新たな脅威続々と、防御手法にも工夫
【PLC同士で感染するワームも】
ICSを狙った新しい脅威も次々と登場しているようだ。
16年3月末から4月初めにかけてシンガポールで開催された国際的なセキュリティーカンファレンスの「ブラックハット・アジア」。ここでは、サーバーやパソコンを介さずに、制御機器のプログラマブルロジックコントローラー(PLC)からPLCに感染するワーム「PLCブラスター」の存在がセキュリティー研究者によって紹介された。制御システムを狙ったものはそれまであったが、PLCをターゲットにしたウイルスは初めてといわれる。
続いて同11月のロンドンの「ブラックハット・ヨーロッパ」では、PLCにインストールする検知不能なルートキットが報告された。これは偽データを監視制御システムに送信し、オペレーターによる間違った操作を誘発したり、PLCによる危険回避のための保護機能を妨害したりするもの。これらを含め、PLCを狙った実際の攻撃はまだ確認されていないが、要注意だ。
【マルウエアの動作を妨害】
対策としては、まず、ウイルスやマルウエアを検出する対策ソリューションの活用が挙げられる。パロアルトネットワークスのロディヤス氏によれば、ICS分野で「トラップス」という同社製品の採用が増えているという。
工場現場の管理用パソコンにも導入できる次世代エンドポイントプロテクション製品で、汎用アプリケーションソフトの脆弱性を利用してマルウエアが侵入する場合、攻撃そのものではなく、マルウエアの攻撃コマンドを検出して実行しそうな動作を妨害し、無効にする仕組み。アンチウイルスソフトのようにスキャンや監視を行わないため、CPUやメモリーをほとんど使用せず、パソコンの処理速度に影響を与えない点も特色とされる。
-
IT/OTのネットワークに接続された各デバイスの動作を可視化できる「スレット・ビジュアライザー」(ダークトレース・ジャパン提供)
【機械学習で攻撃の予兆検出】
英国と米国に本社を置くダークトレースは、英ケンブリッジ大学の機械学習と数学理論の専門家が開発したソリューションをもとに、異常や脅威につながる挙動を自動的に検知するシステムを提供する。ネットワークにつながれた機械学習ベースのシステムが、接続された各機器の動作やデータの流れといった通常の「生活パターン」をリアルタイムに学習するシステムだ。
ダークトレース・ジャパンの北アジアリージョナルディレクターのジョン・カーチ氏によれば、「サイバー攻撃の前には必ず怪しい挙動がある」という。潜伏したマルウエアなどがシステム内部でターゲットを探ったり通常業務から外れた動作を行うためで、それを攻撃の予兆としてネットワークレイヤーで検知する。しかも、スタンドアローンのシステムで完結し、制御システムの可用性を損なわず、システムを止めずに対応できる利点があるとする。
さらに、「今までネットワークからのログで見られるシステムはあったが、グラフィカルなものはなかった」(芦矢悠司サイバーセキュリティアカウントエグゼクティブ)というのが「スレット・ビジュアライザー」。
ネットワークに接続された機器やそのデータの流れをグラフィカルに可視化できる。産業系では大手電力会社の英ドラックスが大規模ユーザーで、まずIT向けに導入し、ドラックスの要望でITもOTも可視化できるよう共同開発した。日本のエネルギー関連企業のOTにも導入されているという。
セキュリティー人材育成へ、IPAにセンター発足
【企業トップの理解も重要に】
重要インフラ・産業系でのサイバーセキュリティー人材の育成も焦点となっている。
「セキュリティー情報を出すと企業の情報系の人は読むが、製造・制御系は別のチームになっていて情報が届いていない」(ラックの川口所長)というように、同じ社内でもITとOTとでは組織が分断され、問題意識や技能に温度差がある。一方で、「ITは汎用的だが、OTは組織に特化した形になりやすい。一般向けのセキュリティーの話に比べ、制御に特化したメニューを用意しにくい」(ダークトレース・ジャパンの重川隼飛サイバーディフェンステクノロジースペシャリスト)事情もある。
そうしたことから、経済産業省の肝いりでIPAに「産業サイバーセキュリティセンター」が4月1日付で発足した。最大100人を対象に、7月から1年間のプログラムがスタートする。
模擬プラントを使ってのサイバー攻撃を想定した実践演習も含め、重要インフラなどにかかわる企業人材がITとOTにまつわる最先端のセキュリティー技術や知識を学ぶ。同センターは企業におけるセキュリティーの中核人材だけでなく、経営者向けの長期・短期のプログラムも用意する。
IPAの金野次長は「日本は情報セキュリティーマネジメントシステム(ISMS)への対応では世界の半分以上の件数を占める先進国。制御系でもセキュリティーレベルを高めるための環境はできつつあるが、取り組みの強化は事業者側の意向にかかっている」と話し、企業経営者に対して問題の重要性の理解と対応の強化を促している。
(2017/5/2 05:00)
