検索
連載

崩れゆく産業システムや制御システムの安全神話――PwCサイバーサービス@ITセキュリティセミナー2018.2

@ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、特別講演「工場、産業システム、制御システム――社会インフラが狙われている〜ワイヤレス通信の普及で顕在化した、無線環境のサイバーリスクに備える〜」の内容をお伝えする。

Share
Tweet
LINE
Hatena

 @ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、特別講演「工場、産業システム、制御システム――社会インフラが狙われている〜ワイヤレス通信の普及で顕在化した、無線環境のサイバーリスクに備える〜」の内容をお伝えする。

産業・制御システムは安全ではない


PwCサイバーサービス サイバーセキュリティ研究所 所長 神薗雅紀氏

 昨今では、工業・産業系のシステムへのサイバー攻撃が増えている。PwCサイバーサービス サイバーセキュリティ研究所で所長を務める神薗雅紀氏は、同社の研究活動で判明した新事実や脅威のトレンドを語った。

 工場などで利用されている産業システムや制御システムでは、多くが独自のハードウェアに独自のソフトウェアをインストールして、インターネットから分離されているために「脅威にさらされることはない」という“安全神話”が信じられてきた。しかし、現代においては「まさに神話、全く安全とはいえない」という。

 例えば、イランにある核施設の遠心分離機がサイバー攻撃によって停止したというニュースを聞いたことがあるだろう。この原因は、USBメモリ経由で感染したマルウェアだったといわれている。ドイツのある製鉄所は標的型攻撃にさらされ、溶鉱炉が制御不能に陥った。ウクライナの電力会社を狙った攻撃では、大規模停電を引き起こすことに成功した。いずれも安全神話に守られていたはずの産業系・制御系システムだ。

 「私たちが提供している“レッドチーム演習”の例では、情報システムから制御システムへ侵入できる可能性が示唆されました。現代の制御システムは、さまざまな外部組織やシステムと連携しており、クローズドではなくなっていたケースもあったのです。過去に大規模なマルウェア感染を起こした組織とつながっているものもありました。メールを受信できたり、OA端末からワンホップでアクセスできたりと、全く安全ではなかったのです」

細やかなアセスメントで対処の方法や方針を定める

 昨今、工業系・産業系の事業者で注目されている新技術と言えば、「IoT」である。また、モバイルデバイスの普及も進んでいる。神薗氏は、IoTやモバイルの活用で欠かせない「ワイヤレス通信がリスクの増大を招く」と警鐘を鳴らす。

 例えば「ダークホテル」という攻撃手法では、高級ホテルなどのWi-Fiを乗っ取り、宿泊する企業のエグゼクティブなどが持つ機密情報を狙う。学内無線LANを経由して、生徒の個人情報を窃取した例もあった。ある工場の元従業員が、退職前のパスフレーズを悪用してWi-Fiに接続し、機密情報を窃取して脅迫行為に及んだケースもある。

 「最近では、無線LANアクセスポイントのSSIDを含むさまざまな情報を地図上にマッピングしたサイトが登場しています。ピンポイントに脆弱(ぜいじゃく)なアクセスポイントを探し、攻撃を仕掛ける可能性があります。認証サーバへのDoS攻撃や電波へのジャミング攻撃などによって、Wi-Fiサービスが停止されてしまうことも考えられます」

 無線のリスクは、もちろんWi-Fiだけではない。

 例えば、米国テキサス州ダラス市では、災害の危険を知らせる屋外警報サイレンが攻撃者に作動させられる事件が発生した。この攻撃については、警報を鳴らすための無線信号を傍受して、同じ電波を再送信するリプレイ攻撃を行った可能性が示唆されている。NTPサーバでシステムの時刻同期を行っているシステムでは、異常な時刻情報を受信することでエラーを起こす可能性がある。自動車のスマートキーが発する微弱な電波を増幅リレーすることで、ドアを開けて窃盗できるようになる手口が予想されている。

 「Wi-Fiにはさまざまなリスクがあり、安全に利用するためにはそれぞれ細かくアセスメント調査を行う必要があります。例えば、組織の敷地内外でアクセスポイントが検出できるかどうかという調査が考えられます。アセスメント調査は、早急に対処すべきこと、今後対処すべきこと、それらのコストや方針などを導くためにも重要な取り組みです。PwCサイバーサービスは、Wi-Fiや特定小電力無線にも対応し、さまざまな知見を生かしたアセスメントサービスを強化しているところです」

 サイバー攻撃が国や企業をターゲットにする中、近年目立ってきたのが工場、産業システムなどへのサイバー攻撃だ

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  5. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  8. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
ページトップに戻る