ニュース

産業制御システムへのサイバー攻撃、トレンドマイクロが実態を明らかに

日本への攻撃も確認される

カイル・ウィルホイト氏

 トレンドマイクロ株式会社は27日、産業制御システム(SCADA)へのサイバー攻撃実態を解説。2012年11月より行っているハニーポット(おとりシステム)をインターネット上に設置して行った調査により、産業制御システムが直面するリスクが浮き彫りとなった。

 産業制御システムは、水道・ガス・電力などの社会インフラや工場などの設備を管理するもの。以前はクローズドで特殊なシステムとして構築されてきたが、昨今オープン化が進むことで、外部からのサイバー攻撃の脅威にさらされている。また、長らくセキュリティとは無縁だったため、脅威に直面する今も「総じてセキュリティ対策が十分でない」(Trend Micro Forward-looking Threat Research(FTR) Threat Researcherのカイル・ウィルホイト氏)という。

一般的な産業制御システムの構成
産業制御システムの変遷

産業制御システムのオープン化が招いた危険性

 実際にサイバー攻撃による被害も報告されている。古くは2000年、オーストラリアで水道局の産業制御システムが不正アクセスされ、下水が川や湖に流出した。記憶に新しいのは、2010年中東を中心に確認されたマルウェア「Stuxnet(スタックスネット)」の事例で、イランの核燃料施設のウラン濃縮用遠心分離機を標的にサイバー攻撃が実施された。この際、遠心分離機を制御するシステムがStuxnetによって乗っ取られ、約8400台の遠心分離機のすべてが使用不能となった。

多発する産業制御システムへの攻撃
公表されている攻撃事例

 産業制御システムのオープン化は著しい。特に進んでいるのは米国で、遠隔から管理するために約7200の産業制御システムがインターネットに接続されている。対して日本はインターネットに接続されているものは多くはないが、両国共通して言えることは「セキュリティ対策は施されているが十分でない」(同氏)ということだ。

 中国とロシアの状況はさらに深刻である。ともに産業制御システム自体が発展途上で、セキュリティ対策は「あまり考慮されていない」にもかかわらず、インターネット上に接続されたものが多いという。

 いずれにしても、環境が急変して脅威に直面するようになった一方、関係者たちがその事実を認識できていないケースが多い。また、Googleのカスタマイズ検索や、インターネットに接続されたデバイスとその状態を検索できる「Shodan」といった検索サービスで、簡単に産業制御システムを見つけ出せる状況が、Stuxnetの事例のような実害を生み始めている。

ハニーポットに74件の攻撃、日本も標的に

攻撃実態調査概要

 その攻撃の実態をつかむために行ったのがトレンドマイクロの調査だ。2011年11月より水道局システムに見せかけたハニーポットを日本を含む8カ国、12カ所に設置し、攻撃を誘い込んだ。その結果は2013年4月に報告書(第1弾)として公開されている。今回は2013年3月~6月の継続調査の結果を紹介している。

 結果、74件の攻撃を確認した。攻撃元はロシアが58.11%と最多。中にはパレスチナから日本に向けられた攻撃も1件検出された。74件のうち、64件は産業制御システムへのバックドア設置、ボットネット化などダウンさせることが目的ではない深刻度「低」の攻撃だったが、10件は「水ポンプ圧の改変」「温度出力の改変」「水ポンプシステムの停止」などを狙った深刻度「高」のものだった。

調査結果。攻撃の全体像
調査結果。深刻度「高」の攻撃、攻撃元国別比率

 日本に向けられた攻撃も「高」のもので、水道局システムに存在する脆弱性を発見、ポンプやバルブなどの物理システムをコントロールする「PLC(Programmable Logic Controller)」を操作する「HMI(Human Machine Interface)」に不正ログイン。システム上の水圧を不正に改変し水の出力量を少なくした後、水道局システム自体を不正にシャットダウンしたという。これが本物のシステムであれば、家庭に水が配給されなくなる可能性もあった。

深刻度「高」の攻撃詳細。攻撃目的別件数
日本に向けられた攻撃の詳細

 ウィルホイト氏によれば「産業制御システムへの攻撃は接続場所に関係なく常に行われている。重要度の高いシステムが狙われ、インフラに壊滅的な被害をもたらす可能性もある」という。産業制御システムへの攻撃の動機はいまいち明らかになっていない。今回の調査および報告書はその狙いを明らかにし、産業制御システムにおけるセキュリティの必要性を広く啓発するのが目的だ。

 なお、防御するためには、「保護すべきシステムをインターネットに接続させない」「従業員のアクセスをコントロールする」「重要インフラはネットワークを隔離する」「セキュリティ対策ツールを利用する」「デバイスの重要度を把握する」「政府基準などを参考にする」「インシデント対応訓練を行う」など挙げた同氏。

 インターネットに公開せざるを得ない場合は、システム名などに「SCADA」といった名称を付けないことや、Googleによるロボット検索を禁止するなどの対策を推奨。Googleで検索できないようにすれば、Shodanによる検索も無効化できるとした。

 心配になるのは、フクシマとStuxnetを連想した場合だ。しかし、核施設に関してはセキュリティもしっかりしており「基本的にインターネットに接続されていない」という。一方でフクシマ以降、テロリストが核施設に注目したともされ、IAEAが核施設へのテロ対策行動計画策定を進める動きもある。サイバー攻撃に対しても、例えば、カード業界のセキュリティ基準を定めたPCIDSSと同じような産業制御システムのセキュリティ基準が求められているのかもしれない。

川島 弘之