この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプのサイバー攻撃

2011/05/10


 日々巧妙化する攻撃手法は、ついに原発関連システムのように堅牢に守られた機密性の高い情報にまで触手を伸ばすようになった。外部ネットワークとは切り離されている制御システムでは起こりにくいと思われていたウイルス感染や、攻撃者によるリモートコントロールの危険が、いまや現実のものになっている。安全なはずと信頼していたインフラが、わずかな時間でたちまち危機に陥ることが身にしみてわかったいま、インターネットから切り離されているはずの制御システムをはじめ組込システムも、新しいタイプのサイバー攻撃に対して万全といえるかどうか、再点検が必要だ。今回は、「新しいタイプの攻撃」またはAPT(Advanced Persistent Threats)と呼ばれる新手の攻撃の手口と対策を考えていく。

サイバー攻撃

#027

制御システムを乗っ取りリモート操作?インフラを脅かすAPT

 製品製造のために輸入した製造用機械を利用しているA社では、ある日を境に機械の異常が続き、ついには製造ラインを停止せざるを得なくなった。メーカーの協力を受けながらその原因を詳しく調べていくと、原因は機械そのものではなく、制御システムの制御信号の異常であることがわかった。その異常な信号は、製造用機械メーカーが他の製品にも共通して用いている制御用プログラムから発せられていた。実はそのプログラムには、元々の機能とは別に、機械に異常動作を起こさせる不正プログラムが書き加えられていたのだ。
 なぜそんなことが起こったのか。それを追及するには時間がかかる。それよりも製造ラインを再開するほうが先だと判断したA社は、制御用プログラムを正規のものに入れ替え、再開のためのテストを開始した。ところが、機械の異常動作は稼働後にある程度の時間が経過すると、同じように生じた。制御用プログラムを調べると、同様の不正な書き替えが行われていた。
 A社は、製造機械や制御用のコンピュータを停止するのはもちろん、制御系のネットワークと、それにルータを介して接続している情報系のネットワークの双方も一時的に閉鎖して、最新のセキュリティツールによるウイルススキャンを全コンピュータに対して行った。その結果わかったのは、事件発生時点では未知だった複数のウイルスが、社内の多くのコンピュータに仕込まれていたことだった。制御用コンピュータが接続するLANセグメントは直接インターネットに接続していなかったし、他のセグメントでも不正アクセス対策は強固に施していたのだが、どうやらウイルスはOSの脆弱性を利用してUSBメモリから社内のPCに潜入し、誰も気がつかないうちに外部サーバと接続しては、指令を受けてさまざまな種類の攻撃を行うワームなどの不正プログラムを社内に送り込んでいた。そのうちの1つが、どうやら守りの甘いパスワードを取得して、制御システムのネットワークに侵入したようだ。その後、制御システム用のデータベースに変更を加えて、機械制御を乱すプログラムを書き込み、実行させていた。制御用コンピュータのプログラムを再インストールしても、これらのウイルスによって短時間に同じ書き替えが行われてしまう仕組みになっていた。
 ウイルスは、その侵入から機械の運用妨害までの間に、何層にも重なった周到な攻撃が行えるようになっており、外部から内部に送られるウイルスは目的達成のためにさまざまな種類のものが攻撃の進展に合わせて用意されていた。しかもウイルスの侵入や感染に利用していたOSや制御用プログラムの脆弱性は1つではなく、対策用のパッチが提供されていないものが複数使われていた。これが災いし、製造ラインの停止という最悪の結果にいきつくまで、ウイルスの侵入と活動に誰も気づかなかった。
 A社は社内のコンピュータのすべてを入念にチェックし、ウイルスをすべて駆逐したが、これには数日を要した。その頃にはOSメーカーと機械メーカーがそれぞれの脆弱性対策パッチを提供し始めており、その適用によって、同じ攻撃には対策できたため、いちおうの収束を迎えることになった。しかし、また別のゼロデイ攻撃が行われたら…。A社では大きな不安を抱えることになった。誰がこの攻撃を仕掛けたのかさえ、わからないのだから。

(ケースファイルはAPTの実例をベースにキーマンズネット編集部が作成)




1

社会インフラへの信頼を揺るがせた「Stuxnet」

 ケースファイルは、昨年7月に報告され世界中に大きな波紋を起こしたウイルス「Stuxnet」による感染と、その後のサイバー攻撃の事例を下敷きにした創作だ。Stuxnetは、これまでにない数々の特徴をもっていた。その1つは、特定の制御システムに的を絞った攻撃だった点だ。そのターゲットになったのはイランの原発にあるウラン濃縮機器の遠心分離器だったと言われている。イランでは約3万台の産業関連コンピュータがStuxnetに感染しており、それらと外部の指令者との通信を含めた継続的な攻撃が行われた結果、制御用コンピュータで不正なプログラムが実行され、遠心分離器に異常な信号が送られた。原発システムそのものには影響がなかったと発表されているが、ウラン濃縮の作業を止め、しばらくは遅らせたことには違いない。おそらくはそれを「警告」として核開発を思いとどまらせる意図があったのではないかとも言われている。

 機器の自動制御用の機器はPLC(Programmable Logic Controller:プログラマブルロジックコントローラ)と呼ばれるが、Stuxnetは初めてそれを陥れることができたウイルスだ。PLCは各種の製造機械などに利用されており、それがウイルス感染してリモートコントロール可能になった場合、どのような妨害が起きるか知れたものではない。またそれが社会インフラ、あるいは軍事技術にも関連するものであったなら、経済界はもちろん、政治や軍事にまで影響する。なにより私たちの生活が脅かされることになる。
 もともとインターネットに直接接続することがないため、サイバー攻撃を考慮する必要はないと考えられてきた制御用コンピュータに異常動作を起こさせることが、現実に可能だということをStuxnetは思い知らせた。大震災による原発事故で安心・安全と宣伝され続けてきたインフラがあまりにもろく崩れ去ることを目のあたりにした私たちには、重要機器の制御が悪意ある者に乗っ取られた場合、恐ろしい結果につながることが容易に想像できるようになった。
 新しいタイプの攻撃の1つであるStuxnetは、発電所設備や軍事設備、重要な産業用機器を取り扱う企業には直接的な脅威であると同時に、金融機関などをはじめとする可用性と安全性が常に求められるシステムを運用するすべての企業の心胆を寒からしめる出来事でもあった。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプのサイバー攻撃」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/新しいタイプのサイバー攻撃」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

フォレンジックソリューション 【ギガ】 内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】 SSL特化で暗号処理も安全性も向上 SSL Visibility Appliance 【マクニカネットワークス株式会社】
フォレンジック 統合ログ管理 その他ネットワークセキュリティ関連
ネットワークフォレンジックで最も重要な通信データの証跡を、長期間確実に、かつ低コストで保存できるようにワンパッケージとしたソリューション。 ・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する
安心と思ったSSL暗号化は攻撃者も使ってくる、既に悪用は過半数

サイバー攻撃」関連の特集


対応費用に8億円!?組織化・凶悪化する“スクリプトキディ”に狙われた企業はどう守る?従来型のアンチウ…



悪質パケットが飛び交うネット社会のありさまをリアルタイムに観測!対サイバー攻撃アラートシステム「DA…



データ分析・活用へ積極的に取り組んできたという企業でも、ことビッグデータに関しては、「活用に取り組む…


サイバー攻撃」関連のセミナー

【3社合同(Cylance/IBM/MOTEX)】最新セキュリティ対策セミナー 【エムオーテックス/日本アイ・ビー・エム/Cylance Japan】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

今年9月に米国大手インターネット検索会社が、不正アクセスにより約5億件のユーザー情報が流出したことを発表しました。また、今年3月からシステムへのアクセスを制限し…

CTIセキュリティセミナー2016 【中電シーティーアイ】 注目 

開催日 12月5日(月)   開催地 愛知県   参加費 無料

次の3つのセキュリティ現場の視点からお話します。 ◆サイバー攻撃観測のプロの視点 ◆インシデントレスポンスのプロの視点 ◆重要インフラ事業者の視点

金融ICT カンファレンス 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

Fintech 時代に求められる金融業界が取り組むべき課題改善の重要なポイントを企業の成功事例を中心に、最先端テクノロジーとソリューションを一挙解説する。■キー…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004081


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ