SBT、サイバートラスト、竹中工務店、オフィスビルへのサイバー攻撃を想定した共同実証実験で建物設備システムの脆弱性を発見

　ソフトバンク・テクノロジー株式会社（以下、SBT）とサイバートラスト株式会社は10日、株式会社竹中工務店と共同で、ビルディングオートメーションシステム（BA）における設備環境を対象としたセキュリティ脆弱性診断の実証実験を実施したと発表した。

　その結果、社内情報（OA）系ネットワーク経由ならびに、閉域網での運用を前提とした制御（BA）ネットワーク自体からのサイバー攻撃で脆弱性を検出。これにより、空調サブシステムなどの制御（BA）ネットワーク上のサーバー類や機器への不正侵入、またはマルウェアを感染させることで電力システム、空調システム、照明システムなどをダウンさせるといった被害を及ぼす可能性があることが判明したという。

　ネットワークに接続されているシステムに対して、さまざまな手法で侵入を試みるペネトレーションテストでは、社内情報（OA）系ネットワークから閉域網での運用を前提とした制御（BA）ネットワークへの侵入はできなかったが、時間を掛けて攻撃を実施することで、侵入される可能性があることが判明した。

　また、閉域網での運用を前提とした制御（BA）ネットワーク上のサーバー機器に対しての侵入、攻撃については、制御（BA）ネットワークにアクセスがあった場合、対象システムが被害を受ける可能性があることが判明。設備を制御するコントローラ機器については、省エネモニター（ディスプレイ）などの攻撃を受けることを前提に設計されていない機器に、一部セキュリティ機能が乏しい部分があり、これを踏み台にされることによりビル制御機器に被害を及ぼす可能性があることが判明した。

　今回の結果を受け、SBTとサイバートラストの2社は竹中工務店と共同で、BA設備環境へのセキュリティ対策として、社内情報（OA）ネットワーク経由ならびに、閉域網での運用を前提とした制御（BA）ネットワーク自体からの侵入に加えて、機器への物理的な攻撃も想定した対策を講じる必要があることを踏まえて、BA向けセキュリティソリューションの開発を推進するとしている。

実証実験結果イメージ図