崩れゆく産業システムや制御システムの安全神話――PwCサイバーサービス:@ITセキュリティセミナー2018.2
@ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、特別講演「工場、産業システム、制御システム――社会インフラが狙われている〜ワイヤレス通信の普及で顕在化した、無線環境のサイバーリスクに備える〜」の内容をお伝えする。
@ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、特別講演「工場、産業システム、制御システム――社会インフラが狙われている〜ワイヤレス通信の普及で顕在化した、無線環境のサイバーリスクに備える〜」の内容をお伝えする。
産業・制御システムは安全ではない
昨今では、工業・産業系のシステムへのサイバー攻撃が増えている。PwCサイバーサービス サイバーセキュリティ研究所で所長を務める神薗雅紀氏は、同社の研究活動で判明した新事実や脅威のトレンドを語った。
工場などで利用されている産業システムや制御システムでは、多くが独自のハードウェアに独自のソフトウェアをインストールして、インターネットから分離されているために「脅威にさらされることはない」という“安全神話”が信じられてきた。しかし、現代においては「まさに神話、全く安全とはいえない」という。
例えば、イランにある核施設の遠心分離機がサイバー攻撃によって停止したというニュースを聞いたことがあるだろう。この原因は、USBメモリ経由で感染したマルウェアだったといわれている。ドイツのある製鉄所は標的型攻撃にさらされ、溶鉱炉が制御不能に陥った。ウクライナの電力会社を狙った攻撃では、大規模停電を引き起こすことに成功した。いずれも安全神話に守られていたはずの産業系・制御系システムだ。
「私たちが提供している“レッドチーム演習”の例では、情報システムから制御システムへ侵入できる可能性が示唆されました。現代の制御システムは、さまざまな外部組織やシステムと連携しており、クローズドではなくなっていたケースもあったのです。過去に大規模なマルウェア感染を起こした組織とつながっているものもありました。メールを受信できたり、OA端末からワンホップでアクセスできたりと、全く安全ではなかったのです」
細やかなアセスメントで対処の方法や方針を定める
昨今、工業系・産業系の事業者で注目されている新技術と言えば、「IoT」である。また、モバイルデバイスの普及も進んでいる。神薗氏は、IoTやモバイルの活用で欠かせない「ワイヤレス通信がリスクの増大を招く」と警鐘を鳴らす。
例えば「ダークホテル」という攻撃手法では、高級ホテルなどのWi-Fiを乗っ取り、宿泊する企業のエグゼクティブなどが持つ機密情報を狙う。学内無線LANを経由して、生徒の個人情報を窃取した例もあった。ある工場の元従業員が、退職前のパスフレーズを悪用してWi-Fiに接続し、機密情報を窃取して脅迫行為に及んだケースもある。
「最近では、無線LANアクセスポイントのSSIDを含むさまざまな情報を地図上にマッピングしたサイトが登場しています。ピンポイントに脆弱(ぜいじゃく)なアクセスポイントを探し、攻撃を仕掛ける可能性があります。認証サーバへのDoS攻撃や電波へのジャミング攻撃などによって、Wi-Fiサービスが停止されてしまうことも考えられます」
無線のリスクは、もちろんWi-Fiだけではない。
例えば、米国テキサス州ダラス市では、災害の危険を知らせる屋外警報サイレンが攻撃者に作動させられる事件が発生した。この攻撃については、警報を鳴らすための無線信号を傍受して、同じ電波を再送信するリプレイ攻撃を行った可能性が示唆されている。NTPサーバでシステムの時刻同期を行っているシステムでは、異常な時刻情報を受信することでエラーを起こす可能性がある。自動車のスマートキーが発する微弱な電波を増幅リレーすることで、ドアを開けて窃盗できるようになる手口が予想されている。
「Wi-Fiにはさまざまなリスクがあり、安全に利用するためにはそれぞれ細かくアセスメント調査を行う必要があります。例えば、組織の敷地内外でアクセスポイントが検出できるかどうかという調査が考えられます。アセスメント調査は、早急に対処すべきこと、今後対処すべきこと、それらのコストや方針などを導くためにも重要な取り組みです。PwCサイバーサービスは、Wi-Fiや特定小電力無線にも対応し、さまざまな知見を生かしたアセスメントサービスを強化しているところです」
サイバー攻撃が国や企業をターゲットにする中、近年目立ってきたのが工場、産業システムなどへのサイバー攻撃だ
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 中部電力、GEデジタルなどはIoT、制御システムのセキュリティ対策にどう取り組んでいるのか
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ最終回は、IoT、制御システム向けセキュリティの講演を中心に紹介する。 - 「日本型組織」はなぜサイバー攻撃に弱いのか
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポートをお届けする。 - 手加減無用の実践的サイバー演習で弱点の洗い出しを、PwC
PwCサイバーサービスは2016年4月12日、サイバーキルチェーンに基づいて疑似的なサイバー攻撃を仕掛け、インシデント対応体制や計画が機能しているかどうかを検証する「レッドチーム演習」について説明した。