● ICS / SCADA のスキャンの実演デモ会場では、実際に攻撃の前段階となる調査行動についての実演も行われた。Google や、IoT 機器をデータベース化した検索エンジン「Shodan」を用いる方法で、例えば、Google で簡単な演算子を用いて検索することで、特定の制御機器の管理者コンソールページを検索結果に表示させることができる実例を示し、ID と PASS ワードが明らかであれば第三者がログインできしてまう危険性が示された。SCADA はもともと閉じた世界で使われることが想定されており、また、制御機器はデフォルトパスワードがハードコーディングされているケースもある。さらに、緊急時に備えて、アカウントロック機能が備わっていないケースがあるため、総当たり攻撃や、上述した Shodan などを駆使することで、パスワードに割り出すことは可能だという。トレーニングでは、より詳細で具体的な攻撃方法が紹介される。● 攻撃対象となる ICS / SCADA の脆弱性報告されている ICS の脆弱性の約7割がベンダーにより修正、修正プログラムが配布されているが、上述した通り、インフラ施設はパッチ適用のために運用を止めることが難しく、パッチが公開されても適用に時間がかかる問題がある。また、施設管理者が、機器がネットワーク接続されていることを認識していないケースもあり、そこがセキュリティホールになる場合もある。このように、パッチ適用が遅れた結果、SQL インジェクションなど、通常の Web アプリの脆弱性を使った攻撃によって、Web に繋がったビジネスゾーンにまず侵入され、最終的にネットに繋がっていないコントロールゾーンのインフラ施設に対して攻撃が行われる。本セミナーでは、「ITS SCADA」「Soitec」「ADVANTECH」「IntegraXor」など、多くの国で利用される制御ソフトウェアの脆弱性が紹介された。● ハンズオン形式でセキュリティ強化のポイントを学習9 月に行われるトレーニングでは、実際のハッキングツールを使い、実践的な学習が行われる。3 日間のカリキュラムの約 4 割がハンズオン形式で、受講者はノートパソコンを持参、環境設定からツールの使い方、製品のファジングから、模型を用い実際の攻撃の擬似体験する演習まで、ICS / SCADA システム担当者を中心に、中級者を想定したトレーニング内容となる。実際にトレーニングを受講した経験者の一人は、「どんな産業用システムにも脆弱性があり、安全なネットワークは存在しないことが、模擬攻撃をくりかえし行うことで体感できた。脆弱性を悪用する攻撃シナリオを知ることによって対策方法も自ずと理解することができる」と受講の効果を語った。実際に手を動かし、攻撃者の視点を体感することで、対策のポイントを学んでいくのが本トレーニングの最大の特長だ。9 月に開催されるトレーニングは 1 プログラムだが、今後は個社ごとにカスタマイズしたカリキュラムも提供可能とのこと。社会インフラの担当者は、受講を検討してみてはいかがだろう。
![[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/22162.jpg)
