この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプのサイバー攻撃

2011/05/10


 日々巧妙化する攻撃手法は、ついに原発関連システムのように堅牢に守られた機密性の高い情報にまで触手を伸ばすようになった。外部ネットワークとは切り離されている制御システムでは起こりにくいと思われていたウイルス感染や、攻撃者によるリモートコントロールの危険が、いまや現実のものになっている。安全なはずと信頼していたインフラが、わずかな時間でたちまち危機に陥ることが身にしみてわかったいま、インターネットから切り離されているはずの制御システムをはじめ組込システムも、新しいタイプのサイバー攻撃に対して万全といえるかどうか、再点検が必要だ。今回は、「新しいタイプの攻撃」またはAPT(Advanced Persistent Threats)と呼ばれる新手の攻撃の手口と対策を考えていく。

サイバー攻撃

#027

制御システムを乗っ取りリモート操作?インフラを脅かすAPT

 製品製造のために輸入した製造用機械を利用しているA社では、ある日を境に機械の異常が続き、ついには製造ラインを停止せざるを得なくなった。メーカーの協力を受けながらその原因を詳しく調べていくと、原因は機械そのものではなく、制御システムの制御信号の異常であることがわかった。その異常な信号は、製造用機械メーカーが他の製品にも共通して用いている制御用プログラムから発せられていた。実はそのプログラムには、元々の機能とは別に、機械に異常動作を起こさせる不正プログラムが書き加えられていたのだ。
 なぜそんなことが起こったのか。それを追及するには時間がかかる。それよりも製造ラインを再開するほうが先だと判断したA社は、制御用プログラムを正規のものに入れ替え、再開のためのテストを開始した。ところが、機械の異常動作は稼働後にある程度の時間が経過すると、同じように生じた。制御用プログラムを調べると、同様の不正な書き替えが行われていた。
 A社は、製造機械や制御用のコンピュータを停止するのはもちろん、制御系のネットワークと、それにルータを介して接続している情報系のネットワークの双方も一時的に閉鎖して、最新のセキュリティツールによるウイルススキャンを全コンピュータに対して行った。その結果わかったのは、事件発生時点では未知だった複数のウイルスが、社内の多くのコンピュータに仕込まれていたことだった。制御用コンピュータが接続するLANセグメントは直接インターネットに接続していなかったし、他のセグメントでも不正アクセス対策は強固に施していたのだが、どうやらウイルスはOSの脆弱性を利用してUSBメモリから社内のPCに潜入し、誰も気がつかないうちに外部サーバと接続しては、指令を受けてさまざまな種類の攻撃を行うワームなどの不正プログラムを社内に送り込んでいた。そのうちの1つが、どうやら守りの甘いパスワードを取得して、制御システムのネットワークに侵入したようだ。その後、制御システム用のデータベースに変更を加えて、機械制御を乱すプログラムを書き込み、実行させていた。制御用コンピュータのプログラムを再インストールしても、これらのウイルスによって短時間に同じ書き替えが行われてしまう仕組みになっていた。
 ウイルスは、その侵入から機械の運用妨害までの間に、何層にも重なった周到な攻撃が行えるようになっており、外部から内部に送られるウイルスは目的達成のためにさまざまな種類のものが攻撃の進展に合わせて用意されていた。しかもウイルスの侵入や感染に利用していたOSや制御用プログラムの脆弱性は1つではなく、対策用のパッチが提供されていないものが複数使われていた。これが災いし、製造ラインの停止という最悪の結果にいきつくまで、ウイルスの侵入と活動に誰も気づかなかった。
 A社は社内のコンピュータのすべてを入念にチェックし、ウイルスをすべて駆逐したが、これには数日を要した。その頃にはOSメーカーと機械メーカーがそれぞれの脆弱性対策パッチを提供し始めており、その適用によって、同じ攻撃には対策できたため、いちおうの収束を迎えることになった。しかし、また別のゼロデイ攻撃が行われたら…。A社では大きな不安を抱えることになった。誰がこの攻撃を仕掛けたのかさえ、わからないのだから。

(ケースファイルはAPTの実例をベースにキーマンズネット編集部が作成)




1

社会インフラへの信頼を揺るがせた「Stuxnet」

 ケースファイルは、昨年7月に報告され世界中に大きな波紋を起こしたウイルス「Stuxnet」による感染と、その後のサイバー攻撃の事例を下敷きにした創作だ。Stuxnetは、これまでにない数々の特徴をもっていた。その1つは、特定の制御システムに的を絞った攻撃だった点だ。そのターゲットになったのはイランの原発にあるウラン濃縮機器の遠心分離器だったと言われている。イランでは約3万台の産業関連コンピュータがStuxnetに感染しており、それらと外部の指令者との通信を含めた継続的な攻撃が行われた結果、制御用コンピュータで不正なプログラムが実行され、遠心分離器に異常な信号が送られた。原発システムそのものには影響がなかったと発表されているが、ウラン濃縮の作業を止め、しばらくは遅らせたことには違いない。おそらくはそれを「警告」として核開発を思いとどまらせる意図があったのではないかとも言われている。

 機器の自動制御用の機器はPLC(Programmable Logic Controller:プログラマブルロジックコントローラ)と呼ばれるが、Stuxnetは初めてそれを陥れることができたウイルスだ。PLCは各種の製造機械などに利用されており、それがウイルス感染してリモートコントロール可能になった場合、どのような妨害が起きるか知れたものではない。またそれが社会インフラ、あるいは軍事技術にも関連するものであったなら、経済界はもちろん、政治や軍事にまで影響する。なにより私たちの生活が脅かされることになる。
 もともとインターネットに直接接続することがないため、サイバー攻撃を考慮する必要はないと考えられてきた制御用コンピュータに異常動作を起こさせることが、現実に可能だということをStuxnetは思い知らせた。大震災による原発事故で安心・安全と宣伝され続けてきたインフラがあまりにもろく崩れ去ることを目のあたりにした私たちには、重要機器の制御が悪意ある者に乗っ取られた場合、恐ろしい結果につながることが容易に想像できるようになった。
 新しいタイプの攻撃の1つであるStuxnetは、発電所設備や軍事設備、重要な産業用機器を取り扱う企業には直接的な脅威であると同時に、金融機関などをはじめとする可用性と安全性が常に求められるシステムを運用するすべての企業の心胆を寒からしめる出来事でもあった。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプのサイバー攻撃」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/新しいタイプのサイバー攻撃」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

障害対応からサーバ構築・管理まで対応、中小企業向け保守・運用代行サービス 【シーティーエス】 「働き方改革」のせいで“1人情シス”の仕事が増加? 悲劇を招かない方法とは 【JBサービス+他】 「データの収益化」を可能にするAPI管理ソリューションとは 【CA Technologies】
IT資産管理 ID管理 開発ツール
障害対応からサーバ構築・管理まで対応、中小企業向け保守・運用代行サービス どんなIT製品/サービスも「導入したら終わり」ではない。「導入後の運用をどうするか」という点も考慮すれば、おのずと選ぶべき手段は見えてくる。 「データの収益化」を可能にするAPI管理ソリューションとは

サイバー攻撃」関連の特集


 今回は、2012年版10大脅威の第2章について解説する。第2章は、2011年において社会的影響が大…



  2010年初頭、毎日のように企業・団体の正規サイト改ざんが明らかになるにつれ大きな話題をさらった…



国家機関や民間企業を狙うサイバー攻撃が世界的に増加中!気づかぬ間に密かに拡大も…?最新のサイバー攻撃…


サイバー攻撃」関連のセミナー

セキュリティ人材不足待ったなし!SCSKセキュリティ運用セミナー 【主催:SCSK】 締切間近 

開催日 7月25日(火)   開催地 東京都   参加費 無料

近年、多くのユーザー企業においてセキュリティ人材の不足が共通課題として深刻化しています。経済産業省の調査では2020年には約19.3万人のセキュリティ人材が不足…

【8/23】追加開催! ランサムウェア対策セミナー in大宮 【日本電気】  

開催日 8月23日(水)   開催地 埼玉県   参加費 無料

〜2017年8月23日(水) 埼玉開催〜NECはこのたび、「追加開催! ランサムウェア対策セミナー in大宮〜NEC自身はどう対策しているのか 現場からお伝えし…

ランサムウェア対策・標的型攻撃対策セミナー 【ウォッチガード・テクノロジージャパン】  

開催日 7月14日(金),8月10日(木),9月8日(金)   開催地 東京都   参加費 無料

6月27日より、Petya 2.0(一部の研究者によってNotPetyaとしても知られています)という悪質なランサムウェア亜種が世界中に拡大し、多くの組織で多大…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004081


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ