• TOP
  • 特集一覧
  • スマートファクトリーセキュリティ第4回:「WannaCry」の被害から学ぶべき工場のセキュリティ対策とは?
2017/09/19

スマートファクトリーセキュリティ第4回:「WannaCry」の被害から学ぶべき工場のセキュリティ対策とは?

メイン画像

2017年上半期におきた「WannaCry」と「Petya」のインシデントでは一般業務で使用される組織のITネットワークだけでなく、病院、工場、鉄道など、様々な業種特有の環境での被害が報じられました。工場を含むさまざまな環境でのランサムウェア被害が現実のものとなったいま、今回の事例を通して我々が学ぶべきこととは何でしょうか?

スマートファクトリーセキュリティ連載第1回:
サイバーセキュリティの不備が工場にもたらす影響を考える

スマートファクトリーセキュリティ連載第2回:
経営層こそ知っておくべきこれからの工場セキュリティ3つの方向性

スマートファクトリーセキュリティ連載第3回:
工場に生産停止をもたらすランサムウェアの脅威と対策を理解する

2017年上半期に発生した最も大きなサイバーインシデントとして、5月の「WannaCry」と6月の「Petya(別名:NotPetya、GoldenEye、など)」という2種のランサムウェアによる大規模な被害が挙げられます。この「WannaCry」と「Petya」の被害事例では、世界的にも、日本国内に限っても、一般業務で使用される組織のLAN環境、いわゆる一般的なITシステムだけでなく、病院、工場、鉄道など、様々な業種特有環境での被害発生が報じられました。

5月の「WannaCry」の被害報道では当初、英国の病院のネットワークに感染し診察や手術に支障が出た事例 や、日系自動車メーカーの英国工場での事例 が大きく取り上げられました。また、日本でも病院での感染例 や6月に入ってからは自動車工場などでの感染事例 が報じられています。このような工場を含む環境での被害事例について、我々が学ぶべきこととは何でしょうか?

「ネットワークワーム」が引き起こした大規模ランサムウェア感染

「WannaCry」と「Petya」が引き起こした様々なネットワークに対する大規模被害の主因として、「ネットワークワーム」活動が挙げられています。「WannaCry」と「Petya」は双方とも、感染PC内のデータを暗号化して身代金を要求するランサムウェアであると同時に、ネットワークを介して自律的に拡散するワーム活動を行います。

この2種はワーム活動のために「MS17-010」の脆弱性を利用します。この脆弱性はWindowsのファイル共有の仕組みであるSMBv1の脆弱性です。攻撃者はこの脆弱性を利用することで、ネットワーク経由で端末に直接不正プログラムを感染させることが可能になります。侵入したネットワーク内にこの脆弱性を修正していないPCやサーバがあった場合、ワーム活動が繰り返されることで被害が拡大していきます。工場内のネットワークで考えた場合、Windows OSを搭載した交差機械の制御端末、生産ライン監視・制御用のHMI、OPC Seerverなどにも感染が広まる可能性があります。実際、工場などでは、クローズドネットワークであること、また業務の都合などの理由から、脆弱性が放置されやすい傾向があります。そのことが、様々な業種特有環境での大きな被害を引き起こしたものと言えるでしょう。

「MS17-010」脆弱性を利用したワーム活動がLAN内での被害拡散に繋がったことはわかりましたが、そもそものLANへの侵入はどのように起こったのでしょうか。6月の「Petya」に関しては各セキュリティベンダーから標的型メールや水飲み場型攻撃、ソフトウェアのアップデート機能の侵害など、複数の侵入経路の存在が報告されています。対して、5月の「WannaCry」に関してはそのような侵入経路は未だに確認されておらず、「WannaCry」自身が持つワーム活動のみにより拡散したものと考えられています。

ただし、「MS17-010」の脆弱性を攻撃に利用するためにはSMBが使用するポート445番に直接アクセスする必要があります。つまり、ファイヤウォールやルータで守られているLAN内のPCやサーバに「WannaCry」が侵入するためには、ポートフォワーディングのような特別な設定が行われているか、それらが別にグローバルIPを持って直接インターネットに接続されている状態であることが必要です。

このようなインターネットに露出した環境はどれほど存在するのでしょうか?本稿執筆時点(2017年8月30日現在)にインターネットの検索エンジン「Shodan」を利用して調査を行ったところ、「WannaCry」のワーム活動の対象となり得るWindows環境は予想以上に多いことがわかりました。

調査ではインターネットにポート445を開放しているWindows環境が、全世界で90万件以上確認されました。また、そのうちの6割をWindows Serverが占めていました。このようにインターネットに露出したWindows環境を経由して「WannCry」がLANに侵入したことは十分に考えられます。つまり、意図的かどうかに関わらずインターネットに露出している端末や機器の存在と、外部から持ち込まれる端末や機器の存在に注意すべきです。

繰り返されるクローズド環境へのネットワークワーム感染

実は、「WannaCry」と同様に、ネットワークワームが工場のようなクローズドネットワークで深刻な被害を引き起こす事例は以前にも起こっています。2008年に登場したネットワークワームの代表的存在である「DOWNAD」です。「DOWNAD」は脆弱性を利用したネットワークワーム活動と同時に、USBのリムーバブルメディアを経由して感染を広めるUSBワーム活動を併せ持っていました。当時、「DOWNAD」はUSBワーム活動により工場などのクローズドネットワークに侵入、短時間でネットワーク全体に蔓延すると同時に、ワーム活動時に発生する通信の輻輳により、結果的に生産ラインを停止させるという深刻な被害を発生させました。

このような深刻な被害の発生は、使用しているアプリケーションや業務の都合のためにOSのアップデートが行なわれていない、また、インターネットに接続されていないことをセキュリティの担保とし、侵入した脅威の拡大を止めるようなセキュリティ対策の導入が行われていないことなどが要因と分析されます。

これら「DOWNAD」による被害の要因は、今年の「WannaCry」による被害においてもほぼそのままあてはまるものと言えます。つまり、「DOWNAD」が登場した10年近く前から、クローズドネットワークに対するセキュリティ意識はあまり進んでいないことを示しているものと言えます。それに加え「WannaCry」の被害では、「DOWNAD」の当時では見られなかった複数拠点間での被害拡大も見られており、逆に状況が悪化しているとも言えます。つまり、現在はクローズドのネットワークとは言っても、例えば他の工場などのクローズドネットワーク同士で「つながっている」ことが、被害事例からは読み取れます。

例えば、フランスの自動車メーカーの事例では複数の国で同時に工場での被害が発生していたり、日本の製造業の事例ではドイツの拠点で使用していた電子顕微鏡用の管理端末の感染から、ほんの2時間で日本を含む世界のグループ企業に感染が広まったとされています。つまり、1つの工場のセキュリティを考える場合には、他の工場のネットワークや一般業務のネットワークからの脅威流入の可能性を考える必要があるということです。

WannaCryの脅威から学ぶべきこと

ここまで「WannaCry」の被害事例から読み取れることをまとめてきましたが、これらのことから私たちが学ぶべきこととはなんでしょうか?

1つの大きなポイントとしては「クローズドだから安全」は既に迷信レベル、ということです。10年近く前に登場した「DOWNAD」の時点でも、独立したクローズド環境での深刻な被害が発生しています。そして今年の「WannaCry」でも、ネットワークワーム活動だけで工場などのこれまでクローズドと思われていた環境に到達し、深刻な被害が発生する事例が現実に起こっています。これらの事実からは、クローズドであるというだけでは万全なセキュリティとは言えず、運用を含めたセキュリティ対策を合わせて考える必要があります。

今後、IIoTやスマートファクトリーなど「つながる」ことの利便性を享受する流れが強まるとともに、これまでは完全に独立したクローズドネットワークであった工場も、他の工場や社内ネットワークと接続されていくことになるでしょう。他のネットワークと接続されていくにつれ、これまでのようにクローズドであること自体をセキュリティの担保とすることもできなくなります。クローズドであることを理由に軽視されてきたネットワーク内の脆弱性対策には、本格的に取り組んでいく必要があります。工場内で使用している機器が意図せずインターネットに露出する可能性も高くなっていくため、インターネットに露出している端末や機器を定期的にチェックする取り組みも重要になります。

また、他の工場などつながっているすべての対象のセキュリティを自身で担保できない以上、何らかの攻撃の侵入に早期に気づき、被害の拡大を抑える対策を考えていくことが最も重要となります。スマートファクトリー化は競争力の維持のためには逆らえない流れと言えます。既にクローズドであっても安全とは言えない状況も証明された今、他との接続を前提としたセキュリティ対策を進めていく必要があります。

KATSUYUKI OKAMOTO

岡本 勝之(おかもと かつゆき)

トレンドマイクロ株式会社

セキュリティエバンジェリスト

製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行し、シニアアンチスレットアナリストを務める。特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。

おすすめの動画

コネクテッドカーのセキュリティリスクとは

運営社情報

セキュリティブログ
is702
PageTop