2015年は1年を通して、重要インフラへの組織的な同時攻撃が注目を集めました。2015年12月、ウクライナの電力発電会社3社を狙った遠隔のサイバー攻撃では、約22万5千に及ぶ顧客が停電に陥りました。攻撃キャンペーン「BlackEnergy」で利用された不正プログラムは、「SCADA(産業制御システム)」を標的とするために特別に開発されていました。特に攻撃者は、制御システム管理の司令塔の役割を果たす「Human Machine Interface(HMI)」ソーリューションのアクセス権取得に注力していました。

この点から、米セキュリティ機関「ICS-CERT」が公開した報告書、および未知の脆弱性発見を担うセキュリティ研究者の奨励プログラム「Zero Day Initiative(ZDI)」に参加したセキュリティリサーチャー報告の脆弱性を分析し、HMI ソリューションの脆弱性を突く攻撃可能範囲を調査しました。図1は、今回の分析で判明した脆弱性分布を示しています。
産業制御システムのHMIソーリューションに存在する一般的な脆弱性

「メモリ破損」が、産業制御システムのようなソフトウェアでは最も一般的な脆弱性タイプで、確認された脆弱性の約20%を占めています。「スタックベースのバッファオーバーフロー」や、「ヒープベースのオーバーフロー」、「アウトオブバウンドメモリへの書き込みの脆弱性」などが、このメモリ破損の脆弱性に含まれています。さらに深刻な点は、Webブラウザのようなソフトウェアは高い確率で一般的な脆弱性軽減ソフトウェアが配置されていますが、産業制御システムのようなソフトウェアパッケージの場合、そのほとんどで、脆弱性軽減ソフトウェアが有効化されていないことです。

「認証情報管理」を扱う箇所も、一般的な脆弱性タイプといえます。攻撃者は、この脆弱性を突き、遠隔で環境設定を変更してリモートコードを実行する可能性があります。その好例が脆弱性「CVE-2015-6456」です。この脆弱性は、米GE社のネットワーク管理・通信ソフトウェア「GE MDS PulseNET」のサポートアカウント対してハードコード化された認証情報を持っているため、この脆弱性を利用することで管理アクセスを取得できます。GE MDS PulseNETは、特に産業通信ネットワーク内機器の監視に使用されます。この認証情報により、攻撃者は遠隔から全アクセス権限を取得できるため、システムが完全に侵害されてしまいます。

なお、このサポートアカウントは、ユーザの管理パネルに表示されないため、脆弱性への修正パッチ適用以外、このアカウントを無効にすることができません。
GE社のネットワーク管理・通信ソフトウェア「GE MDS PulseNet」の「ge_support」アカウント

このような脆弱性利用の新たな局面を危惧する弊社では、産業制御システムのHMIソリューションに存在する脆弱性利用も注視しています。今後、仏Schneider Electric社、独Siemens社、米GE社、台湾のAdvantech社など、大手企業の産業制御システムのHMIソリューション上の脆弱性タイプを調査し、弊社でもさらなるリサーチペーパーを刊行する予定です。リサーチペーパーでは、HMIソリューション開発で用いられた技術の不具合を調査し、コード下で深刻な脆弱性が生じる仕組みを示します。そして調査データが、HMIソリューションの脆弱性を利用する新たな攻撃予測と合わせ、産業制御システムのさらなる研究への助言となることを目指します。

産業制御システム(ICS)のセキュリティ対策に関する詳細は、こちらの資料(英語)をご参照ください。