この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプの攻撃から身を守る

2011/05/24


 前回の第1回記事では、主にStuxnetの仕組みと脅威について紹介した。第2回の今回の記事では、Stuxnetをはじめとする新しいタイプの攻撃(APT)が、難攻不落と見なされてきた制御システムにも攻撃をしかけられるようになった背景について、統計情報を見ながら考えてみる。そのあと、制御システムや業務用の情報システムを問わずに襲ってくるAPTから組織が身を守るためのシステムとネットワーク設計の注意ポイントや推奨事項を紹介しよう。情報の窃取、産業スパイを目的とした業務システムや情報システムへのサイバー攻撃が予想されるいま、APTに対して組織はどのように備えるべきなのだろうか。

サイバー攻撃


1

制御システムのリスクはどこにあるのか

 前回の記事では、イランの原発関連制御システムがAPTによって攻撃された事例や、そこから予想される製造機械への攻撃について紹介した。しかしウイルスが原発や鉄道などの社会インフラに停止などの被害をもたらしたのはStuxnetが初めてではない。2003年にはアメリカの原発で当時猛威をふるっていたウイルスであるSlammerが制御システムを約5時間停止させた。また同年、アメリカの鉄道会社もBlasterウイルスが信号管理システムに感染し、複数路線で列車を停止させた。さらにZotobウイルスは、2005年に自動車製造会社の工場のシステムに感染し、操業停止に追い込んだことがある。
 しかし、これらのウイルス被害とAPTとの大きな違いは、攻撃の複雑さと執拗さだ。APTは一度仕掛けられれば簡単なウイルス駆除対策だけでは済まず、ゼロデイを含む脆弱性を狙う複数の攻撃が繰り返し仕掛けられる。特に外部から特定システムをターゲットにする不正プログラムなどをダウンロードして実行する機能が仕込まれることにより、単純なシステム停止にとどまらず、制御対象の機械などに、攻撃者の意図に沿った動きをさせることができるところに注意が必要だ。攻撃は繰り返し執拗に行われることが多く、長期的に制御情報や機器・施設情報、関連する機密情報などが外部に流出する危険があるばかりでなく、業務妨害やさらに危険な攻撃に結びつく可能性がないとはいえない。

1-1

情報システムから制御システムに忍び込むウイルス

 なぜAPTはそれほど深刻な被害に結びつくような攻撃ができるのか。それは、前回のケースファイル編でも触れたように、感染拡大活動と外部サーバとの通信による不正プログラムなどのダウンロードや実行、さらにはそうした活動を隠蔽してしまう仕組みにより、ターゲットとなる組織が気づかないうちに、特定のシステムの攻略用に作られたさまざまな不正プログラム(ペイロード部)を制御システムに送り込むことができるからだ。
 しかし、産業用機械や社会インフラなどの制御システムは、一般的な情報システムとは別の系統として構成されることが多いので、これまではあまり外部ネットワークからの侵入について配慮されてこなかった。というのも、図1に見るように、製造機械などの制御対象の製品は独自のハードとOSをもつ場合が多く、それらを直接制御するプログラマブルロジックコントローラ(PLC)や分散制御システム(DCS)も専用製品であるため、一般の情報システムがWindows OSを前提にしたウイルスなどで攻撃されたとしても、それが末端の機械まで影響を及ぼすリスクは低いと考えられてきたからだ。

図1 制御システムの構成例
図1 制御システムの構成例
出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」2009年3月)
資料提供:IPA

 ところが、実際にはWindows OSが制御システムでも利用されている例は多い。経済産業省による「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」では、日本のプラント設備での端末におけるOSの利用状況として、図2のような結果を報告している。

図2 プラント設備でのOSの利用状況(端末)
図2 プラント設備でのOSの利用状況(端末)
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 89%の制御システムでWindowsが利用されているというのが実態だ。もちろん図1の下部のような専用製品で構成された部分だけを対象とした調査ではないが、それにしても多い。しかもそれらが外部ネットワークと接続されているかどうかの調査では、図3のような結果になっている。

図3 外部ネットワークとの接続
図3 外部ネットワークとの接続
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 36.8%が外部ネットワークに接続し、そのうちインターネット接続が43%、リモートメンテナンス回線接続が55%だ。外部ネットワークとの接続の仕方や目的は一般の情報システムと違うものの、基本的にはあまり事情は違っていないようだ。実際、近年では制御システムにおいてもTCP/IPやイーサネットなどの標準プロトコルや汎用製品が利用されるケースが多くなっている。これには各種の業務システムや経営管理システムなどと制御システムとの連携が必要となるケースが増えていることも影響している。
 また、汎用OSをあまり使っていない場合であっても、制御情報ネットワークの部分は図1の構成のように、ファイアウォールを介して外部に接続しており、プロトコルはTCP/IPだ。利用する端末もWindows OSが多く、Oracle、MySQL、JAVA などの汎用ソフトウェアが利用されている。
 大きな流れとしては制御システムも標準プロトコルでの通信と汎用OSへと移り変わりつつあり、製品ライフサイクルが10〜20年と長い末端の製造機械などがまだその流れには乗りきれないでいる状況のようだ。やがては無線ネットワークの利用も含めて末端の機器にまでオープン化が進むものと考えられている。上記の実態調査は3年前のものなので、現在はさらにこの傾向は進んでいるものと予想される。
 このような状況から、制御システムと一般の情報システムとの違いは徐々になくなりつつある。これは取りも直さず、一般の情報システムが日々立ち向かっているのと同じ脅威に対する備えを、制御システムの側にも備えなければならないということだ。
 また、もう1つ気になるのは、USBメモリなどが接続可能なコネクタが制御システムにもあることだ。同実態調査では設備内の外部メディアの取り付け口の有無についても調べている(図4)。

図4 プラント設備での外部メディアの取り付け口の有無
図4 プラント設備での外部メディアの取り付け口の有無
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 制御システムでもUSBデバイスの接続が可能な場合が7割を超えている。外部メディアとの接続口は、作業の利便性のためには有用ではあっても、視点を変えればウイルスの入り口でもある。Stuxnetがそうであるように、USBメモリからPCに感染する種類のウイルスの数は多いのだ。この点に関しても、一般の情報システムと同様にデバイスの運用ルールと管理とを制御システムの側にも徹底する必要が生じている。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプの攻撃から身を守る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


サイバー攻撃/新しいタイプの攻撃から身を守る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

クラウド“乱用”に悩むIT部門──ID統合管理とシングルサインオンのススメ 【東京エレクトロン デバイス+他】 個人情報検出・暗号化ソリューション 【ネスコ】 WAF/DDoS対策/CDNサービス TrustShelter/WAF 【NTTテクノクロス】
ID管理 暗号化 WAF
利用の広がるクラウドサービスだがID管理に関して課題を抱えているケースも多い。そうした中、この課題をクラウドで解決するサービスが注目を集めている。 マイナンバーや個人情報を検出する「P-Pointer」と、ハイレベルのセキュリティを実現するDRM製品「DataClasys」とを組み合わせたソリューション。 簡単かつ低コストにWebサイトセキュリティを強化できる、WAF/DDoS対策/CDNサービス。クラウド型WAFならすぐに導入でき、運用はお任せ。オンプレミス型WAFの提供も可能。

サイバー攻撃」関連の特集


 2016年10月19日、アイ・ティ・アール(以下、ITR)は「国内IT投資動向調査2017」を発表…



中堅中小企業だって油断大敵!知らぬ間に親会社や取引先への攻撃に“踏み台”となり加担している事例が勃発…



 独立行政法人 情報処理推進機構(略称IPA)は、2012年10月30日に『標的型攻撃メールの傾向と…


サイバー攻撃」関連のセミナー

セキュリティのプロ、名和利男氏が語る 日常化するサイバー攻撃 【日立ソリューションズ】 注目 

開催日 5月19日(金)   開催地 東京都   参加費 無料

「秘文」の最新機能をご紹介する アップデート体験セミナーを開催いたします。企業を狙ったサイバー攻撃は、日本でも多くの被害が報告されるようになり、企業の規模や業種…

情報セキュリティセミナーin福岡 【九州通信ネットワーク】 注目 

開催日 5月19日(金)   開催地 福岡県   参加費 無料

最近では、過去のばらまき型の愉快犯的なものから、標的型攻撃など、特定の企業の個人を狙い、 営利を目的としたサイバー攻撃がみられるようになっています。本セミナーで…

脅威に立ち向かうために求められる企業セキュリティとは 【インターネットイニシアティブ/セキュアスカイ・テクノロジー 共催】  

開催日 5月19日(金)   開催地 東京都   参加費 無料

近年、「DDoS攻撃」「情報漏えい」「不正ログイン」「Webサイト改ざん」による被害は後を絶ちません。企業でのIoT機器やクラウド利用が急速に広がる中、規模・業…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004082


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ