• TOP
  • 特集一覧
  • なぜいまサイバー攻撃者に工場が狙われるのか?
2017/03/29

なぜいまサイバー攻撃者に工場が狙われるのか?

メイン画像

産業制御システム(ICS:Industrial Control Systems)は、自動化された工場の生産設備やビル全体の空調管理システムなど、あらゆる場所に展開されています。

以前は、独自OSや独自通信プロトコルをベースとした産業制御システムが普及していましたが、近年はシステム開発コストの削減や生産性の向上を目的として、汎用OSや標準通信プロトコルを利用し、ネットワーク接続を前提としたオープン化された産業制御システムの普及も進んでいます。

産業制御システムをオープン化することによる利点は多々ありますが、一方で産業制御システムのオープン化によって、サイバー攻撃を受けるリスクが高まる可能性についても目を向ける必要があります。実際、産業制御システムに対するサイバー攻撃や産業制御システムに関連する脆弱性の報告件数は増加傾向にあり、重要インフラやエネルギー業界を狙ったサイバー攻撃も実際に確認されています。

工場を狙う攻撃者の動機とは

なぜ、サイバー攻撃者は、いま工場や重要インフラ施設を狙うのでしょうか。

企業や組織は、市場競争力を維持するためにさまざまなプロセスを自動化できる効率的なシステムとして、工場やプラント、重要インフラ施設である発電所などで産業制御システムを利用しています。ただし、先に述べたように、産業制御システムのオープン化はそれと引き換えにセキュリティに関する新たな問題も引き起こす可能性をはらんでいます。製造業にとって企業の核となる工場や、国家レベルの影響を及ぼすような重要インフラ施設が、オープン化によるセキュリティリスクを内包するこの状況を踏まえると、産業制御システムは攻撃者にとって格好の標的であると言えます。産業制御システムに対する攻撃が成功すると、どのような組織であっても、工場の操業停止や、機器の故障、金銭的損失、知的財産の窃盗、健康や安全に関する多大なリスクといった深刻な被害に見舞われることが考えられるのです。

さかのぼると2005年には米国ダイムラークライスラーの自動車製造工場13拠点が、ワームへの感染により1時間にわたりオフラインになった事例が報告されています。このとき原因となったのが、Windowsプラグアンドプレイサービスを利用したZotob PnPワームでした。ダウンタイムの発生により生産工程で未処理が発生し、結果的に1400万ドルの被害が発生しました。

サイバー攻撃者は多くの場合、金銭目的、政治的主張(ハクティビズム)、さらには軍事目的などで、標的の企業や組織を選択します。攻撃は国家の支援を受けて行われたり、競合他社、悪質な目的を持った内部関係者、さらにはハクティビストによって行われたりすることもあります。

多段で行われる産業制御システムへの攻撃

通常、産業制御システムに対する攻撃の第1段階では、攻撃者が標的の環境を調査するための偵察活動が行われます。第2段階では、攻撃者が標的となるネットワークに侵入する足掛かりを得るためのさまざまな手法の攻撃が行われます。この時用いられる手法は、標的型攻撃と酷似しています。攻撃者は、マルウェア(不正プログラム、ウイルス)を仕掛けるために、想定されるあらゆる脆弱性や産業制御システムの構成を利用します。これらの脆弱性が特定され悪用されると、攻撃者によって正規の運用や機能を改変されたり、既存の制御状態や設定を勝手に調整されたりする可能性があります。(注釈1)

産業制御システムに対する攻撃の複雑さは、対象システムのセキュリティレベルや攻撃によって与えたいダメージの大きさなどによって変化します(例:ある産業制御システムに対するDoS(サービス妨害)攻撃は、同じシステムの運用者に気づかれずに侵入し、サービスを不正操作する攻撃よりも容易に行えるなど)。産業制御システムを狙う攻撃手法はすでに数多く存在しますが、オープン化の進む環境にますます多くのデバイスが導入されていくことも踏まえ、今後も新たな戦術が現れ続けることが予想されます。

狙われる産業制御システムの脆弱性

産業制御システムは、IT(Information Technology、情報技術)とOT(Operational Technology、運用技術)の両方が関係するため、システムの脆弱性をカテゴリー別に分類しておくことは、脆弱性管理を行う上で役立ちます。

NIST(The National Institute for Standards and Technology、アメリカ国立標準技術研究所)の産業制御システム向けセキュリティガイドでは、さまざまなプラットフォーム(例:ハードウェア、オペレーティングシステム、ICSソフトウェア)やネットワークに存在する脆弱性およびポリシーや手順に関する問題を次のようなカテゴリーに細分化しています。(注釈2)

ポリシーと手順に関する脆弱性
  • セキュリティアーキテクチャおよび設計が不十分である
  • 産業制御システムのセキュリティ監査がほとんど/まったく行われていない
  • 産業制御システムのセキュリティポリシーが不十分である
  • 産業制御システム固有の設定の変更管理が行われていない
  • 産業制御システムのセキュリティに関する研修や意識向上プログラムが実施されていない
  • セキュリティ施行の管理メカニズムが存在していない
  • 産業制御システム固有の運用継続計画や障害復旧計画が存在していない
  • 産業制御システム向けのセキュリティポリシーを基にして具体的な/文書化されたセキュリティ手順が作成されていない
  • プラットフォームの構成に関する脆弱性
  • ポータブルデバイスのデータが保護されていない
  • 出荷時標準のシステム設定が使用されている
  • 重要な設定が保存されていない/バックアップされていない
  • OSとアプリケーションのセキュリティパッチが継続的に適用されていない
  • 十分なテストを行わずにOSとアプリケーションのセキュリティパッチが適用されている
  • アクセス制御ポリシーが不十分である
    (例:産業制御システムのユーザに付与されている特権が多すぎる/少なすぎる)
  • セキュリティに関する脆弱性が発見されるまでOSやベンダーソフトウェアのパッチが作成されない場合がある
  • 十分なパスワードポリシーが存在していない、不注意によってパスワードが漏洩する、パスワードが使用されていない、デフォルトのパスワードが使用されている、弱いパスワードが使用されている
  • プラットフォームのハードウェアに関する脆弱性
  • セキュリティ変更のテストが不十分である
  • 重要コンポーネントが冗長化されていない
  • 産業制御システムのコンポーネントのリモートアクセスが安全でない
  • 発電機または無停電電源装置(UPS)による予備電源が存在していない
  • デュアルネットワークインターフェースカードでネットワークに接続している
  • 重要システムの物理セキュリティが不十分である
  • 産業制御システムのネットワークに接続されている資産が文書化されていない
  • 権限のない社員がデバイスに物理的にアクセスできる
  • 環境の制御不能によりハードウェアがオーバーヒートする可能性がある
  • 高周波や電磁パルス(EMP)が電気回路の故障や損傷を引き起こす
  • プラットフォームのソフトウェアに関する脆弱性
  • ICSソフトウェアに対するサービス妨害(DoS)攻撃が存在する
  • 侵入検知/防止ソフトウェアがインストールされていない
  • インストールされているセキュリティ機能がデフォルトで有効になっていない
  • ICSソフトウェアがバッファーオーバーフロー攻撃に対して脆弱である可能性がある
  • 定義されていない、定義が不十分な、または「不正な」ネットワークパケットの取り扱いが不適切である
  • OSで不要なサービスが無効になっておらず、そこを攻撃される可能性がある
  • 適切なログ管理が行われておらず、セキュリティイベントの追跡が困難である
  • OPC(OLE for Process Control)通信プロトコルにパッチが適用されない場合RPC(Remote Procedure Call;リモートプロシージャコール)やDCOM(Distributed Component Object Model)の既知の脆弱性に対しても脆弱となる
  • DNP3、Modbus、Profibus等の安全でないものの、業界で広く使われているICSプロトコルが使用されている
  • 設定やプログラミングソフトウェアの認証とアクセス制御が不十分である
  • 数多くのICS通信プロトコルで伝送媒体を介してメッセージが平文で送信されている
  • ICSソフトウェアやプロトコルの技術文書が簡単に入手できる状態であり、攻撃者が攻撃を成功させる計画を立てる手助けとなっている可能性がある
  • ログやエンドポイントのセンサーがリアルタイムに監視されておらず、セキュリティ侵害がすぐに特定されない
  • マルウェア防御(アンチウイルス)に関する脆弱性
  • セキュリティソフトがインストールされていない
  • セキュリティソフトのパターンファイルが更新されていない(ブラックリスト型の場合)
  • 十分なテストを行わずに産業制御システムにセキュリティソフトがインストールされている
  • ネットワーク構成に関する脆弱性
  • 脆弱なネットワークセキュリティアーキテクチャである
  • 送信時にパスワードが暗号化されていない
  • ネットワークデバイス構成が適切に保存されていない/バックアップされていない
  • ネットワークデバイスのパスワードが定期的に変更されていない
  • アクセス制御リスト(ACL)等のデータフロー制御機能が使用されていない
  • ネットワークセキュリティデバイスの構成が不十分である
    (例:ファイアウォール、ルータ等のルールが誤って構成されている)
  • ネットワークハードウェアに関する脆弱性
  • 重要ネットワークが冗長化されていない
  • ネットワーク機器の物理セキュリティが不十分である
  • 環境の制御不能によりハードウェアがオーバーヒートする可能性がある
  • 必要ない社員が機器やネットワーク接続にアクセスできる
  • USBポートやPS/2ポートが保護されておらず、これらのポートを使用して許可されていないサムドライブやキーロガー等を接続できる
  • ネットワーク境界に関する脆弱性
  • ネットワークセキュリティの境界が定義されていない
  • ファイアウォールが存在していない/誤って構成されている
  • ICS制御用のネットワークが非制御の通信(例:Web閲覧やEメール)目的で使用されている
  • 経路制御サービスがICS制御ネットワーク内に存在していない
    (例:DNSやDHCPが制御ネットワークによって使用されているが、それらは多くの場合、企業ネットワーク内に実装されている)
  • 通信に関する脆弱性
  • 産業制御システムに被害を与える可能性のある重要な通信の監視および制御の手段が明確にされていない
  • ユーザ、データ、またはデバイスの認証が基準を満たしていない/存在していない
  • 数多くのICS通信プロトコルが整合性チェックを備えておらず、攻撃者が悟られることなく通信を容易に改変できる
  • 標準プロトコルが平文で使用されている
    (例:TelnetやFTPのトラフィックが傍受された場合、プロトコルアナライザーを使用して解析やデコードが可能)
  • 無線接続に関する脆弱性
  • クライアントとアクセスポイント間の認証が不十分である
  • クライアントとアクセスポイント間のデータ保護が不十分である
  • ネットワークの監視とログに関する脆弱性
  • ICS制御ネットワークのセキュリティ監視が行なわれていない
  • ファイアウォールとルータのログが不十分であり、セキュリティイベントの追跡が困難である
  • 想定されるICS制御ネットワークの脆弱性

    想定されるICS制御ネットワークの脆弱性
    (※クリックすると別画面で拡大表示します。)

    構成やシステムの目的によって異なりますが、どの産業制御システムにも脆弱性は存在する可能性があります。例えば、システムの規模の違いは、脆弱性の数や深刻さに影響するでしょう。システムの規模が大きければ、それだけセキュリティエラーが生じる可能性も高まるからです。従来の産業制御システムを最新のオープン化された産業制御システムに置き換え、IIoT(Industrial Internet of Things、インダストリアルIoT)デバイス等のツールが導入された環境には、結果的に攻撃者が付け込める脆弱性がより多く存在している場合も考えられます。

    IIoTが産業制御システムに及ぼす影響

    生産性向上やシステム制御の強化を図るために、産業制御システムのオープン化が進む中で、ますます多くのIoTデバイスが導入されています。ICS向けのIoTデバイス(IIoTデバイス)を使用することで、プロセスの制御、データの監視、および他のシステムとの通信が効率化されます。しかしながら、これらのタスクにこうしたIoTデバイスを使用することで新たに生じるリスクにも目を向ける必要があります。

    IIoTは機械学習(Machine Learning、マシンラーニング)とビッグデータ分析を活用します。また、各産業で既に利用されているセンサーデータ、マシン間(M2M)通信、および自動化技術も活用します。(注釈3) IIoTでは、データ集計、予測分析、行動規範分析、データ価値の付加、さらには新しいビジネスモデルの作成等のタスクを実行できます。(注釈4)

    スマートフォンの普及に伴い、スマートフォンのプラットフォームに関連する脆弱性やマルウェア(不正アプリ、ウイルス)が増加したように、IIoTのデバイスが普及すれば、同様の問題が起こることが予想されます。実際、産業制御システム内でさまざまなIoTデバイスを管理することになれば、各デバイスをすべて適切に守り、保護する必要が生じるため、従来のITシステムにおけるデバイス管理に匹敵する、あるいはそれ以上にかなり大がかりなセキュリティ対策の検討および実装が必要になります。この場合、セキュリティ対策が十分に行われていないと、産業制御システムのエコシステム全体が攻撃に対して極めて脆弱な状態となってしまいます。

    産業制御システムを導入する工場や重要施設でIoTを導入するにあたっては、いくつかの環境固有のセキュリティ課題を克服する必要があります。

    新たな技術の部分的な導入によりシステムのネットワーク構成とそのプロセスが複雑化する懸念があります。

    異なる複数のOSのデバイスが使用されるため、パッチ適用のスケジュールも異なり、これらの対応が困難になる可能性があります。

    可用性を重視してパッチ適用が現実的に難しい環境下でIoTデバイスが増えることにより、脆弱性攻撃に対してのリスクがさらに拡大する可能性があります。

    産業制御システムで従来のシステムとオープン化された新しいシステムのソフトウェアを組み合わせて使用する場合などにこれらの問題が起こり得るでしょう。この場合、旧システムと新システムが双方で適切に通信できないだけではなく、パッチが適用されていない旧システムに存在する脆弱性に攻撃者が付け込んで、新システムが侵害される可能性もあります。

    工場や重要インフラ施設では、従来の産業制御システムや古くからの通信プロトコルが依然幅広く使用されています。DECORプログラム(飛行機の離着陸時に使用)を実行するWindows 3.1やPROFIBUS等の通信プロトコルなどがその代表例です。データやコマンドの送受信を効率化するには、これらをオープン化された標準プロトコルに変換する仕組みを実装して旧システムを統合する必要があります。

    異なる複数のOSのデバイスが使用されるため、パッチ適用のスケジュールも異なり、これらの対応が困難になる可能性があります。

    IoTデバイスのハッキングは簡単ではないかもしれませんが、標的型サイバー攻撃を仕掛ける攻撃者は豊富な知識と粘り強さの両方を兼ね備えているため、これらの旧システムの統合に伴って生じる脆弱性を悪用して、標的となるネットワークへの侵入を成功させる可能性もあります。持ち運びの可能なIoTデバイスの紛失もデータ侵害の主な原因となります。デバイスをどこかに置き忘れることで、標的となるネットワークに侵入するのに必要なアクセス権限をサイバー犯罪者が入手してしまう可能性があります。

    サイバー攻撃によって産業制御システムが受ける被害

    産業制御システムへのサイバー攻撃による被害の規模は、標的となるシステムの保護状態や攻撃を仕掛けるサイバー犯罪者の狙いによって左右されますが、システムの運営者、およびその顧客は、次のような影響を受ける可能性があります。

    OS、またはアプリケーションレベルでのシステム改変

    一例をあげると、システムが改変されることで、不正プログラムの侵入やその他のサイバー攻撃者による不正操作が隠蔽される可能性があります。結果的に工場や設備の生産活動に影響を及ぼすこともあり得ます。

    PLC(プログラマブルロジックコントローラ)、RTU(リモート端末装置)、およびその他の制御装置の改変

    システムの改変と同様に、制御装置モジュールやその他のデバイスが改変されることで、機器の故障や施設の損傷、プロセスの異常、およびプロセスの制御不能が生じ、生産停止や生産量に影響を及ぼすことが考えられます。

    運用者への誤情報の送信

    産業制御システムの運用者へ誤情報が送信されることによって運用者が騙され、望ましくない措置や不要な措置を誘発する可能性があります。結果的に、運用者の意図に反した誤操作や攻撃を隠蔽する手助けとなる場合もあります。

    安全制御装置の改変

    フェイルセーフやその他の安全装置の適切な動作が妨げられ、システムに不具合が生じることで、従業員や場合によっては外部顧客の生命も危険にさらされる可能性が考えられます。

    効率化や生産性の向上といった付加価値を提供する上で、産業制御システムのオープン化や工場、重要インフラ施設のIoT導入は不可欠な流れとなっている一方、従来のIT環境にみられる深刻なサイバー攻撃の脅威が工場や施設内に流入してくることもまた避けられない状況です。

    サイバーセキュリティ対策は、工場のIoT化、産業制御システムのオープン化に際しての最重要経営課題の一つとしてとらえるべき問題であることを今一度強く認識する必要があるでしょう。

    おすすめの動画

    IoTで広がる世界とそのセキュリティ

    運営社情報

    セキュリティブログ
    is702
    PageTop