2010年ごろ、国内で制御システムセキュリティ、SCADAが話題になったことがある。きっかけのひとつがかの有名はStuxnetによるイラン核関連施設へのサイバー攻撃だ。
同製品は、外部ネットワークからの侵入を物理的に防ぐデータダイオード方式による完全片方向データ通信機能を、FPGAに実装し、通信機能はOSやTCP/IPなどの汎用通信アプリケーションを使用せずFPGAに実装しているため、これらの脆弱性リスクを排除することができるという。
受講者の一人は、「どんな産業用システムにも脆弱性があり、安全なネットワークは存在しないことが、模擬攻撃をくりかえし行うことで体感できた。脆弱性を悪用する攻撃シナリオを知ることによって対策方法も自ずと理解することができる」と語った。
産業用システムは継続性が重要で、特に、ICSなどの制御系システムは安全性が欠かせません。なぜなら、重要インフラに関するプラントなどの制御を奪われると、クリティカルな被害につながるからです。
最新の欠陥は、先日公開されたUnityシミュレータに影響を与えるバグとは「まったく別のものです」と彼は付け加えた。ザ・レジスターの問い合わせに応じて、シュナイダー・エレクトリックは潜在的なDDoSリスクとして何が起きうるのかを正式に発表した。
Kaspersky 社が社会インフラなどの制御システムの研究を行い、産業用制御システムのセキュリティ対策製品や、シミュレーションを用いた演習プログラムなどを提供していることは日本ではまだあまり知られていない側面かもしれない。
「彼らが Word 文書を利用することは事前に予想していたので、これは我々の疑いを確証するものだった。一般的に言えば、『マクロを含んだ Word 文書』は、APT 攻撃を行う人々の間でますます人気が高くなっている」
これらのバグは(無害そうなアプリケーションのバグでも)、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」
中でも、とくに恐ろしい発見は「核施設が『エアギャップされている』という概念」が「神話」であるという点だ。「インターネット接続の商業的利益」が意味しているものは、さらなる原子力施設のネットワーク化である。
さらに深刻なのは、攻撃者が任意のコードを実行するために作り出すパケットによって、そのネットワーク通信のプロセスがクラッシュさせられる可能性もあるということだ。
「スマートフォンセキュリティ・シンポジウム2015」の基調講演は、慶應義塾大学院 環境情報学部の徳田英幸教授(政策・メディア研究委員長)によるIoT/IoE時代のセキュアなサービスについての講演が行われた。
また2014年末に話題になった映画「The Interview」によってソニー・ピクチャーズがサイバー攻撃を受けた事件についても質問してみた。米政府は攻撃は北朝鮮によるものだと公式に発表している。しかし、その見方に疑問を呈する専門家も少なくない。
「日米の最大の違いは、攻撃が現実の問題として受け止めているか否かでしょう。米国はイスラム国を始めいくつかの国のターゲットとして、重要インフラに対するサイバー攻撃を実際に受けています。日本では発電所や水道局が直接攻撃された事例はないと思います。」
ICS-CERT の注意書きは、この世界の幅広い産業(化学、通信、重要な製造業、ダム、防衛、エネルギー、食料、農業、政府施設、交通システム、水および排水システムなど)で利用されている同キットに対して示されるものだ。
Havexは、ICS(Industrial Control System:産業制御システム)を狙ったマルウェアであるが、その目的や背景などがはっきりせず、さまざまな機関が調査・解析を行っているところだ。
すべての近代的なプラントは、ほんの一握りのベンダーが提供する、同様の、あるいは同一の構成を利用したシステムや製品で稼動している。もしも一つの産業用制御システムの制御を得ることができた場合なら、数百の『同一品種』に侵入することができる
企業側はその状況を避けるためにデザインされた安全ロジックをシーケンサに実装している。しかし、もしも研究者たちが PLC にアクセスできたなら、彼らは単純に「新しい安全ロジック」を上書きし、それから悪意あるコマンドを入力することができる。
さらに悪いことに、イランは以前よりもはるかに警戒を強めている――そして、将来のイランの核施設へのサイバー攻撃(Stuxnet の有力な後継者によるもの)から身を守るための準備は、以前よりもはるかに整っている。
フィンランドの IP アドレス空間の 30 パーセントはいまだ Shodan によって描き出されていないため、「多くの問題は……まだ隠れている可能性がある」と研究助手の Seppo Tillkainen は言う。
Tofino Security によると、任意のパッチが制御システムの安全性または信頼性へ影響を及ぼす可能性は 12 分の 1 の確率で存在している。さらに、報告された制御システム製品の脆弱性を修正するためのパッチが故障する確率は 60 パーセントにも及ぶ。
「ハニーポットの一つに対する最初の攻撃の兆候が見られるまで、たったの 18 時間しかかからなかった。ハニーポットが攻撃の統計を集め続けている間、(すでに)この展開に関する調査が憂慮すべき結果になることは分かっていた。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)