] 「攻撃による社会的な影響が大きい、IoT以上に深刻な産業制御システムのセキュリティ」 ~制御システムセキュリティカンファレンスレポート~ | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

「攻撃による社会的な影響が大きい、IoT以上に深刻な産業制御システムのセキュリティ」 ~制御システムセキュリティカンファレンスレポート~

2019.3.20

ツイート シェア 送る はてブ

power-plant.jpgIoTのセキュリティと密接な関係にあるのが、産業制御システム(ICS)のセキュリティです。

工場の生産ラインや化学プラント、電力や水道といった重要なインフラを司るICSシステムは、IoTや組み込み機器同様、かつてはOSから何から独自に作り込まれるものがほとんどでした。しかし最近では、コストパフォーマンスの良さに加え、新しい機能を迅速に取り入れるため、WindowsやLinuxといった汎用的なOSが採用されるようになっています。

またこれまで「ICSは他のシステムとは一切つながっていないクローズドな環境だから安全だ」というのが通説でした。けれど、直接他のネットワークにつながらないまでも、生産ラインから得られるさまざまな情報を収集するために、保守用PCやUSBメモリなどを介して間接的につながる環境が広がっています。

この結果ICSシステムもまた、マルウェア感染や不正侵入といったサイバーリスクにさらされることになりました。最も顕著な例は2010年に報告されたマルウェア「Stuxnet」でしょう。その後も、ITの世界ほど頻繁ではありませんが、ICSシステムが攻撃を受けるケースが複数報告されています。生産ラインや重要インフラの運用に支障が生じた場合の社会的影響を考えると、コンシューマー機器以上に深刻な問題と言えるでしょう。

JPCERTコーディネーションセンター(JPCERT/CC)では毎年、この問題をテーマにした「制御システムセキュリティカンファレンス」を開催し、その年ごとに制御システムのセキュリティを巡る状況や事例、標準化動向を解説してきました。

それは故障? それともサイバー攻撃?

2月15日に開催された「制御システムセキュリティカンファレンス 2019」では、JPCERT/CCのICSR技術顧問、宮地利雄氏が「制御システム・セキュリティの現在と展望~この1年間を振り返って~」と題するセッションを行いました。宮地氏によると、幸いなことに「この1年、重大なICSインシデントはなかった」ということです。

が、だからといって即安全と言えるわけではありません。むしろ、過去に発生したICSインシデントの調査が進んだ結果、興味深い事実がわかってきたと言います。

その1つが、2017年8月に報告されたマルウェア「Hatman」(Triton)の全体像です。

「Hatman」は、プラントの状態を監視し、異常が発生したときには安全な状態を保つように働く「安全計装システム」をターゲットにしたマルウェアで、2017年8月に中東の国で報告されました。ICSシステムの中でも重要な安全を保つための仕組みがターゲットになったという意味で、深刻なものと言えるでしょう。

このインシデント対応に加わったJuian Gutmanis氏が行った講演により、「Hatman」のより詳細な情報がわかってきたそうです。

 「Hatman」の存在が明るみになったのは2017年8月でしたが、実はその2カ月前、6月の時点で最初の障害が起きていたそうです。もしこのときに徹底的に調査を行っていたら、問題は起きなかったかもしれません。ですが残念ながら、ハードウェアのエラーが不具合の原因だろうと推測してベンダーを呼んで調査を行ったものの、特に異常が見つからなかったことから運用は再開され、2度目の障害につながってしまいました。

また「Hatman」は1つではなく、3つの安全計装システムを同時に停止させました。1つのシステムが停止するだけなら、たまたま故障しただけとも考えられますが、同時に3つで障害が発生するとなると偶然とは思えません。このことから、内部犯行もしくは外部のサイバー攻撃によるものと推測し、調査が進んだそうです。このことを踏まえると、「インシデントは起きていないというけれど、実は、エラーの原因としてサイバー攻撃という要因を推測できていないだけではないか」(宮地氏)という可能性も考えられます。

このケースでは、ICSの手前にあるイントラネットが広範に侵入を受けていたこともわかりました。「制御システムとイントラネットを隔てるファイアウォールの設定をやるのはIT担当か、OT担当か、管轄がどこにあるかが曖昧で誰がやるかはっきりしないまま、攻撃されたのではないか」と宮地氏は述べています。

2018年にはここまでクリティカルではないにせよ、2018年には他にも、日本でも報告された「VPNFilter」や、米ノースカロライナ州の上下水道事業者を、ハリケーンが発生して混乱しているタイミングで狙ったサイバー攻撃の可能性がある「ONWASA」など、注意深く見ていく必要のあるマルウェアが発生したと宮地氏は説明しました。

ちなみに、制御システムのコントロールを司るWindows PCにも感染して多くの企業に影響を与えた破壊型マルウェア「NotPetya」に関しては、経済面での興味深い動きがありました。食品・飲料会社のモンデリーズでは「NotPetya」に感染し、1億ドル以上の損失を出しました。そこで、以前から結んでいたサイバー保険を適用して被害を補償しようとしたところ、Zurich American保険側から「これはロシア政府が関与したサイバー攻撃であり、戦争条項による免責の対象となる」と支払いを拒否され、裁判に持ち込まれたそうです。宮地氏は「今後も関心を持って見ていかなければならない」と述べています。


サプライチェーン全体の信頼確保が鍵に

制御システムセキュリティカンファレンス 2019の冒頭には、経済産業省のサイバーセキュリティ・情報化審議官の三角育夫氏が挨拶に立ち、「ますます多くの産業制御システムがIPベースで接続され、セキュリティの課題が大きくなってきている」と述べています。

この先、重要インフラの安定的な運用はもちろん、コネクテッドカーや自動走行車などの安心・安全を実現するためにも、そして2020年に控えるオリンピック・パラリンピックにおいて基本的なサービスを安定的に供給するためにも、この分野のセキュリティは不可欠だと同氏は説明しました。

Screen-Shot-2016-11-07-at-16.16.41.pngこのため経産省では、JPCERT/CCやIPAとともに「産業サイバーセキュリティセンター」を設け、人材育成と研究開発に取り組む他、国際協力を進めているといいます。

三角氏はさらに、「社会システムとして考えたときにはサプライチェーンが重要になる。いろいろな調達関係やパートナーシップの下で生産活動が行われている中では、『取引先のセキュリティは大丈夫か』ということが鍵になる」と述べました。

そして、サプライチェーン全体が信頼できる状態にならなければ、付加価値のある生産活動も社会活動もできないとし、「サイバー・フィジカル・セキュリティ対策フレームワーク」の策定を通じてその保護に取り組むと述べました。

一方で宮地氏によると、ICS-CERTに報告される脆弱性の数は年々増加の一途をたどっており、医療機器だけでなく農業機械などでも脆弱性が報告されているということです。特に、ICSシステムの中で重要な役割を担うPLC(プログラマブルロジックコントローラ)の開発環境、「Codesys」について多く報告されていることを踏まえると、「サプライチェーン全体の視点の中で、「Codesys」を用いて作られたPLCの脆弱性対応がほとんどなされていないことが課題だ」と指摘しました。

「残念ながら、利用者だけが攻撃を知らない状況が続いている」と宮地氏。ICSのセキュリティを巡っては、運用も含め、IEC62443関連の標準が続々発行されているほか、安全計装システムとセキュリティを一緒に議論する動きも出てきてはいますが、まだまだ解決までの道のりは遠そうです。IoTや組み込み機器と同様、隣接したICSの領域でもなすべきことはまだ山積みと言えるでしょう。


執筆者

高橋睦美
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。