製造業特有のサイバーリスクを調査 ~産業制御システムに特化したハッキングツールの販売を確認~
トレンドマイクロは、製造業特有の脅威の調査を行い、インダストリー4.0の時代における新たなセキュリティ上の課題とその対策についての考察を行いました。本コラムでは、当該調査の結果を中心にご紹介し、スマートファクトリー化に関わる担当者が知っておくべき脅威とその対策をご紹介いたします。
スマートファクトリーの実現に、大きな期待が寄せられています。
ドイツの「インダストリー4.0」や日本の「コネクテッドインダストリーズ」など、ネットワーク化された設備・機器によって生産を自動化および最適化する動きが各国で活発化してきています。しかしその一方で、その変化に伴う新たな脅威にも目を向けることも重要です。
トレンドマイクロは、製造業特有の脅威の調査を行い、インダストリー4.0の時代における新たなセキュリティ上の課題とその対策についての考察を行いました。本コラムでは、当該調査の結果を中心にご紹介し、スマートファクトリー化に関わる担当者が知っておくべき脅威とその対策をご紹介いたします。
製造業特有のサイバーリスク①:製造業を狙ったハッキングツールの販売ICS(Industrial Control System:産業制御システム)/SCADA(Supervisory Control And Data Acquisition:監視制御システム)に特化したハッキングツールが、インターネット上で販売されていることを確認しました。図1は、PLC(Programmable Logic Controller)のパスワードを突破するためのツールです。攻撃者はこのツールを利用してパスワードを解析し、PLCへのアクセスを試みます。これらのPLCハッキングツールは、5000円ほどで販売されています(図2)。
また、下の図3は、アンダーグラウンド市場のオンライン掲示板における何者かの投稿です。投稿者は産業スパイ活動のために、CAD(Computer Aided Design)ファイルおよびCAM(Computer Aided Manufacturing)ファイル、ソースコード、機密文書などを要求しています。
このようなアンダーグラウンド市場における動きは、製造業界が攻撃者にとって関心の高い市場であることを示唆しています。上記のようなツールやサービスによって、産業を狙ったサイバー犯罪を実行するハードルが下がっていくものと予想されます。攻撃ツールの普及によって、サイバー犯罪は熟練した攻撃者だけのものではなくなるでしょう。
製造業特有のサイバーリスク②:インターネットに露出したICSトレンドマイクロは、HMI(Human Machine Interface)が認証なしで、直接インターネットに露出している事例をいくつか確認しました。非常に危険なことに、HMIが読み取り専用でない場合、基本的には誰でも製造機械の値を書き換えたり、コマンドを発行したりすることができます。図4は、インターネット上に露出した産業制御システムの一例です。
システムが不正に変更されると、製造の遅延や品質不良の発生、機器の損傷による安定稼働の阻害などの被害が起こる可能性があります。工場業務が担う経済活動の規模の大きさと影響範囲を考慮すると、制御システムへのアクセス制御は厳密に管理される必要があります。
推奨されるセキュリティ対策インダストリー4.0におけるサイバーセキュリティの要諦は、ITシステムとOTシステムの融合、ひいては関連部門同士の文化の融合です。まずは、従来のITシステムにおけるセキュリティの原則を、OTシステムに適用することから始めることが有効です。具体的には以下の通りです:
・ユーザのアクセス権とパーミッションを制限すること。
・ドメインまたはサブネットワークを制限すること。
・ディレクトリの一覧情報の取得を無効化すること。
・不必要なサービスは削除または無効化すること。
また、サイバーとフィジカルが融合するスマートファクトリーにおいては、役割と意識、そして優先順位を異にするITエンジニアとOTエンジニアの協働が欠かせません。両チームが同じ目的を共有した上で、中断のない製造、機密情報の保護、安全と効率性の確保のために、何を優先するかの合意が望まれます。セキュリティに費やせる予算は限られているので、何を守るべきかを明確にし、可視化しましょう。
加えて、製造業特有のレガシーシステムが抱える脆弱性についても対応が必要です。修正プログラムの適用に加えて、仮想パッチや侵入検知システム、アプリケーションコントロールのような技術の利用などが、現実的なソリューションとして有効です。そして最後に、工場設備の設計段階からサイバーセキュリティ機能を統合すること、つまり「セキュアバイデザイン」のアプローチをとることの重要性を認識しておくことが重要です。数十年単位で利用する設備のライフサイクルを考えると、インシデントのたびに応急処置的な対応を取って複雑な運用を回すよりも、セキュリティを設計に組み込む方が費用・効率面でも優れているからです。脆弱な製品を選ばないこと、技術的な仕組みを入れて人手をかけない運用を考えることが大切です。
インダストリー4.0の利便性を余すことなく享受するためにも、新しい脅威となるサイバーセキュリティへの対応を欠かさないようにしましょう。
※本記事の内容は当社発行のレポート「製造業特有のサイバーセキュリティリスク ~インダストリー4.0における脅威と対策~」に基づくものです。製造業特有の脅威とリスクに関してより深く知るためにはこちらのレポートもご一読ください。
石原 陽平(いしはら ようへい)
トレンドマイクロ株式会社
マーケティングコミュニケーションマネージャー
カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。