非標的型のランダム攻撃でも工場は止まる!?

240日間の“おとり捜査”から見えてきた工場セキュリティの現実解

周知のとおり、新型コロナウイルス感染症(コロナ)の拡大によって、パンデミックなどの有事に備えることの大切さが改めてクローズアップされる結果となった。おそらく、コロナ後の世界では、全ての企業・組織が、コロナ流行の第2波も含めて、自社の事業継続を脅かすさまざまな事態を想定しながら、組織としての有事への耐性を強化する必要に迫られるはずである。それはもちろん、工場についても例外ではなく、工場の操業を停止に追い込む可能性の高い全リスクへの警戒感を強め、備えを強化していかなければならない。そこで本稿では、工場を操業停止に追い込む可能性のあるリスクの一つ、サイバー攻撃に関するトレンドマイクロの“おとり調査”の結果を報告する。ぜひ、本稿の内容を、リスクへの備えの一助とされたい。

石原陽平
トレンドマイクロ
グローバル IoT マーケティング室セキュリティエバンジェリスト

ハニーポットを仕かける

サイバー攻撃に対する調査研究の手法として、インターネット上に“ハニーポット”と呼ばれる“おとり捜査”のためのIT環境を構築し、それに対して、どのようなサイバー攻撃が仕かけられるかを点検するフィールドワーク1がある。これは、大学・研究機関などがよく使う調査手法だが、トレンドマイクロは今回、この手法を用いて、工場を取り巻くサイバー攻撃の実態について調査した。具体的には、工場に配備されている一般的なICS(Industrial Control System:産業制御システム)環境を模したシステムを仮想環境上に作り上げ、それに対するサイバー攻撃の「発生頻度」と「影響度」を2019 年 5月6日から 12 月 31 日までの240日間にわたり観測したのである。

言うまでもなく、ハニーポットのシステムは、それが“おとり”であることを攻撃者に見破られないようにすることが重要である。その観点から、トレンドマイクロは今回、図1に示す構成のシステムをハニーポットとして構築した。

図1:“おとり捜査”に活用した“ハニーポット”のシステム構成

  1. PLC:Programmable Logic Controller の略称。ICSで使用される機械を制御する装置のこと。
  2. HMI:Human Machine Interfaceの略称。システム管理者やオペレーターがシステム全体の状況を確認したり、制御したりするためのインターフェースのこと。
  3. EWS:Engineering WorkStation の略称。PLCのプログラム開発や書き込みを行うための装置のこと。

この図のとおり、工場で一般的に使わるPLCを4台用意し、うち3台を、ファイアウォールとセルラールータ(キャリアの移動体通信網に対応したルータ)を介して、外部(インターネット)からアクセス可能にした。実際、リモート管理のために外部からPLCへのアクセスを許可しているケースは多く確認されている。また、市場に出回っているPLC の多くは、初期設定の段階でパスワードが設定されていないことが多い。そのため、ハニーポットのシステムにおいても、パスワードが設定されていない状態にした。

さらに、今回のシステムが実在する会社のものであるかのように見せるために、架空の企業として「試作品製造/コンサルティングに特化したスタートアップ企業」を作り上げ、その架空会社のホームページも用意した。

  1. フィールドワーク:調査対象についてテーマに即した場所で直接観察し、客観的な成果を挙げるための調査技法

バラマキ型の攻撃でも実害を被る

上述したハニーポットシステムを240日間にわたり運用したところ、本システムに対して、合計30件のサイバー攻撃が観測され、工場の生産システムに深刻な影響を及ぼした事象も合計で6回引き起こされた。

その6回のうち2回はランサムウェア感染(CrysisランサムウェアとPhobosランサムウェアの感染)である。この事象が発生した際、トレンドマイクロでは、攻撃者に対して交渉をしかけてみた。目的は、攻撃者が意図的に工場(のICS)を狙ってきたのかどうか、さらには、攻撃者がICSに対して、どの程度の知識があるかを確認することだ。

交渉では、ランサムウェアの攻撃者に対して、「キミたちが暗号化したデータを複合化できるという確証が得られないかぎり、(データの)身代金は払えない」とのメッセージを送り、攻撃者から、「暗号化されたファイルの中から、重要ではないファイルを1つだけ送れ。それを複合化してみせる」との返答を得ることに成功した。この返答に対して、トレンドマイクロでは、PLCのシステムの中で最も重要なロジックファイルを攻撃者に送付した。結果、攻撃者はそのファイルを複合化し、返送してきたのである。この結果から、攻撃者がICSやICSで扱われるデータについての知識は乏しいことが推測できた。

また、生産システムに影響を及ぼした攻撃の中には、システムのシャットダウンやHMIの不正操作などを行うものがあったが、どれも場当たり的な犯行で、ICSに対する知識を前提にした動きとは思えなかった。

一方、今回観測されたサイバー攻撃の多くは、金銭狙いの犯行だった。代表例は2回のランサムウェア攻撃だが、マシンリソースを仮想通貨の不正マイニングに使う金銭狙いの犯行も5回観測されたほか、他者のアカウントを悪用したサービスの不正購入の試みも確認されたのである。

こうした傾向──すなわち、攻撃の多くが金銭狙いであり、かつ、攻撃者はICSに関する知識に欠けるという傾向によって、今日の工場内ICSに着弾する攻撃の大多数は、意図して工場を狙ったものではなく、不特定多数の法人組織を標的にしたバラマキ型の攻撃である可能性が高いことがわかった。そして、今回明らかになったより重要なポイントは、意図して工場を狙った攻撃ではなくとも、工場の生産システムを停止に追い込む可能性があるということである(図2)。

「だからこそ、工場を『攻撃しやすい場所』にしないことが重要になります。その重要性は、工場のスマート化が進み、ICSへの侵入経路や攻撃対象が増えることで高まり続けるはずです」と、トレンドマイクロ グローバル IoT マーケティング室セキュリティエバンジェリストの石原陽平は指摘する。

図2:意図した工場へのサイバー攻撃ではなくても工場の生産性は低下する

防御のカギはITとICSの知見の融合

石原の言うように、工場を攻撃しやすい場所にしないためには、工場内のICSのセキュリティレベルを、企業の一般的な業務を支えるITシステム(=情報システム)と同水準へと引き上げることが必要になる。

ただし、ICSと情報システムとでは、求められる要件が大きく異なり、情報システムのセキュリティ対策をそのままICSに適用することは困難と言える。例えば、ICSでは、一定のパフォーマンスで、計画どおりに、安定して稼働し続けることが強く求められる。ゆえに、OSに対するアップデートやセキュリティパッチの適用をタイムリーに(あるいは、自動的に)行うといった、情報システムの基本的なセキュリティ対策すら講じることが難しい。同様の理由から、最新の脅威情報を基にパターンマッチングによってマルウェアを検出する一般的なマルウェア対策もICSには講じられないのが通常だ。したがって、工場のセキュリティレベルを高めるには、ICSの特性や制約条件を考慮に入れたうえで、情報システムの領域では必須、あるいは「こうあるべき」とされるセキュリティ対策を講じていかなければならない。それに向けては、ICSなどのOT(Operational Technology)の制約条件と情報システムのセキュリティの双方に精通した人材を育成することが重要であると石原は言う。

「情報システムのセキュリティとOTの双方に精通している人材は非常に少ないのが現状ですが、その状況を変えていかないかぎり、工場のセキュリティ強化はままなりません。サイバー攻撃の手口を深く理解したうえで、ICSの制約条件を勘案しながら、工場のセキュリティ計画をしっかりと練り上げられる人──。そんな人材が、“スマートファクトリー”の時代には強く求められます。トレンドマイクロでは、OTの制約条件に適合したセキュリティソリューションを提供するだけではなく、そうした人材の育成にも貢献していく考えです」(石原)。

記事公開日 : 2020.06.04
 この記事は、公開日時点での情報です