トレンド情報

ハッカー最前線レポート2018|制御システムもセキュリティと向き合う時代

毎年夏にラスベガスで開催されるハッカーカンファレンスのDEF CON(デフコン)で取り上げられた内容やキーワードを元にした連載4回目は『制御システム』について取り上げます。
※本記事は、2018年10月11日に公開された記事を一部再編集しております。

狙われる制御システム

2017年猛威を振るったWannaCryというランサムウェアをご存じでしょうか。
Windowsを標的として感染するマルウェアであり、ネットワーク経由で感染拡大活動を行い、感染するとパソコン内のデータを暗号化し、復号するための身代金を要求してきます。なお、身代金は支払わないようにアドバイスが行われています。その理由は、身代金を支払っても、データを復号できた例がないため、攻撃者側で身代金支払者と支払者が持っているデータとの紐付けができていないと推察されるから、です。

海外ではここ数年続けて重要インフラといわれる産業制御システムがサイバー攻撃の被害にあっています。

2015年と2016年はウクライナにおいてサイバー攻撃によって停電という市民生活に直接影響の出る被害が発生、2017年には中東で中核的な産業制御システムに対するサイバー攻撃によって工場が一時的に全停止に陥った事例が報告されています。このほか、古くは2010年にイランの、とある工場のウラン濃縮用遠心分離機を標的とし、全て稼働停止に追いやったStuxnetの事例があります。

このマルウェアにより、海外だけでなく日本においても多くの企業が感染被害にあっています。特にインターネットから隔離されている工場内の制御システムでも感染し、工場のラインが一時的に停止する事例も見られ、制御システムもサイバー攻撃からのリスクに晒されていることが一般に認知され始めるきっかけとなっています。

サイバー攻撃の標的になる制御システム

制御システムでは、一般的に特殊なプロトコルで通信や制御が行われており、ネットワークもインターネットと直接通信ができないようになっています。こうした理由から、制御システムはサイバー攻撃を受けるリスクは少ないと考えられてきました。

制御システムは情報システムと異なり、事故が発生すると人命に関わる事態を第一に考えて設計されています。加えて、稼働時間に比例して利益を生むことから、システムが継続して稼働できること、いわゆる「可用性」が重要視されます。そのため、制御システムでは、脆弱性などに対応するためにシステムにパッチを適用すると可用性が損なわれるため、システムの操業開始後に一度もパッチ適用が行われていないというのは、よくある事例です。

こうした従来の考え方を見直す時期に来ているのは、Stuxnetから中東の事例など、パッチ適用が行われていれば未然に防げたと想定されるインシデントが発生しているからです。4年前からデフコンで「ICS Village」が開催されているのも、そうした制御システムにおけるセキュリティへの意識を変えることが目的となっています。

今年は昨年よりもおよそ2倍のスペースで開催され、電力システムや水道の制御システムなどの模擬システムが展示されていました。ただ展示するだけではなく、コンテスト用として参加者が実際に制御システムで利用されている機器に対して攻撃が可能なシステムも用意されていたり、制御システム向けセキュリティ製品のデモ用として、攻撃の可視化や防御のための制御を見られるようになっていたり、サイバー攻撃を受けるとどういう脅威が伴うのかを身近に感じられる環境となっていました。

必要な可用性を如何に担保するかが課題

制御システムがサイバー攻撃に狙われていても、セキュリティ対策が定着しない最大の理由は「可用性の維持」にあります。

今般、地震によって大規模停電「ブラックアウト」が発生する事例を日本として経験しましたが、早期に復旧するため、甚大な被害を受けた設備以外を有する発電所以外に負荷を掛けることを是とする対応がなされました。この対応自体は、非難されるものではありませんが、生活に直結する制御システムに対して、無理をしてでも停止は最小限に抑える圧力があることは明らかになったといえます。

制御システムは、定期的にメンテナンスのために計画停止していますが、現状その計画停止期間中にセキュリティ対応は入っているという事例は見られません。
セキュリティ対応をすることで停止期間が延びる可能性があるためですが、停止期間が延びると収益性も低下することもセキュリティ対応が行われにくい一つの要因と考えられます。

安全神話は崩壊し、24時間営業のコンビニも見直しの必要性が議論されています。
そのような時代だからこそ、セキュリティ対応という安全確保のために可用性への考え方を見直す時期が来ているのかも知れません。

この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。