この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプの攻撃から身を守る

2011/05/24


 前回の第1回記事では、主にStuxnetの仕組みと脅威について紹介した。第2回の今回の記事では、Stuxnetをはじめとする新しいタイプの攻撃(APT)が、難攻不落と見なされてきた制御システムにも攻撃をしかけられるようになった背景について、統計情報を見ながら考えてみる。そのあと、制御システムや業務用の情報システムを問わずに襲ってくるAPTから組織が身を守るためのシステムとネットワーク設計の注意ポイントや推奨事項を紹介しよう。情報の窃取、産業スパイを目的とした業務システムや情報システムへのサイバー攻撃が予想されるいま、APTに対して組織はどのように備えるべきなのだろうか。

サイバー攻撃


1

制御システムのリスクはどこにあるのか

 前回の記事では、イランの原発関連制御システムがAPTによって攻撃された事例や、そこから予想される製造機械への攻撃について紹介した。しかしウイルスが原発や鉄道などの社会インフラに停止などの被害をもたらしたのはStuxnetが初めてではない。2003年にはアメリカの原発で当時猛威をふるっていたウイルスであるSlammerが制御システムを約5時間停止させた。また同年、アメリカの鉄道会社もBlasterウイルスが信号管理システムに感染し、複数路線で列車を停止させた。さらにZotobウイルスは、2005年に自動車製造会社の工場のシステムに感染し、操業停止に追い込んだことがある。
 しかし、これらのウイルス被害とAPTとの大きな違いは、攻撃の複雑さと執拗さだ。APTは一度仕掛けられれば簡単なウイルス駆除対策だけでは済まず、ゼロデイを含む脆弱性を狙う複数の攻撃が繰り返し仕掛けられる。特に外部から特定システムをターゲットにする不正プログラムなどをダウンロードして実行する機能が仕込まれることにより、単純なシステム停止にとどまらず、制御対象の機械などに、攻撃者の意図に沿った動きをさせることができるところに注意が必要だ。攻撃は繰り返し執拗に行われることが多く、長期的に制御情報や機器・施設情報、関連する機密情報などが外部に流出する危険があるばかりでなく、業務妨害やさらに危険な攻撃に結びつく可能性がないとはいえない。

1-1

情報システムから制御システムに忍び込むウイルス

 なぜAPTはそれほど深刻な被害に結びつくような攻撃ができるのか。それは、前回のケースファイル編でも触れたように、感染拡大活動と外部サーバとの通信による不正プログラムなどのダウンロードや実行、さらにはそうした活動を隠蔽してしまう仕組みにより、ターゲットとなる組織が気づかないうちに、特定のシステムの攻略用に作られたさまざまな不正プログラム(ペイロード部)を制御システムに送り込むことができるからだ。
 しかし、産業用機械や社会インフラなどの制御システムは、一般的な情報システムとは別の系統として構成されることが多いので、これまではあまり外部ネットワークからの侵入について配慮されてこなかった。というのも、図1に見るように、製造機械などの制御対象の製品は独自のハードとOSをもつ場合が多く、それらを直接制御するプログラマブルロジックコントローラ(PLC)や分散制御システム(DCS)も専用製品であるため、一般の情報システムがWindows OSを前提にしたウイルスなどで攻撃されたとしても、それが末端の機械まで影響を及ぼすリスクは低いと考えられてきたからだ。

図1 制御システムの構成例
図1 制御システムの構成例
出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」2009年3月)
資料提供:IPA

 ところが、実際にはWindows OSが制御システムでも利用されている例は多い。経済産業省による「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」では、日本のプラント設備での端末におけるOSの利用状況として、図2のような結果を報告している。

図2 プラント設備でのOSの利用状況(端末)
図2 プラント設備でのOSの利用状況(端末)
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 89%の制御システムでWindowsが利用されているというのが実態だ。もちろん図1の下部のような専用製品で構成された部分だけを対象とした調査ではないが、それにしても多い。しかもそれらが外部ネットワークと接続されているかどうかの調査では、図3のような結果になっている。

図3 外部ネットワークとの接続
図3 外部ネットワークとの接続
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 36.8%が外部ネットワークに接続し、そのうちインターネット接続が43%、リモートメンテナンス回線接続が55%だ。外部ネットワークとの接続の仕方や目的は一般の情報システムと違うものの、基本的にはあまり事情は違っていないようだ。実際、近年では制御システムにおいてもTCP/IPやイーサネットなどの標準プロトコルや汎用製品が利用されるケースが多くなっている。これには各種の業務システムや経営管理システムなどと制御システムとの連携が必要となるケースが増えていることも影響している。
 また、汎用OSをあまり使っていない場合であっても、制御情報ネットワークの部分は図1の構成のように、ファイアウォールを介して外部に接続しており、プロトコルはTCP/IPだ。利用する端末もWindows OSが多く、Oracle、MySQL、JAVA などの汎用ソフトウェアが利用されている。
 大きな流れとしては制御システムも標準プロトコルでの通信と汎用OSへと移り変わりつつあり、製品ライフサイクルが10〜20年と長い末端の製造機械などがまだその流れには乗りきれないでいる状況のようだ。やがては無線ネットワークの利用も含めて末端の機器にまでオープン化が進むものと考えられている。上記の実態調査は3年前のものなので、現在はさらにこの傾向は進んでいるものと予想される。
 このような状況から、制御システムと一般の情報システムとの違いは徐々になくなりつつある。これは取りも直さず、一般の情報システムが日々立ち向かっているのと同じ脅威に対する備えを、制御システムの側にも備えなければならないということだ。
 また、もう1つ気になるのは、USBメモリなどが接続可能なコネクタが制御システムにもあることだ。同実態調査では設備内の外部メディアの取り付け口の有無についても調べている(図4)。

図4 プラント設備での外部メディアの取り付け口の有無
図4 プラント設備での外部メディアの取り付け口の有無
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 制御システムでもUSBデバイスの接続が可能な場合が7割を超えている。外部メディアとの接続口は、作業の利便性のためには有用ではあっても、視点を変えればウイルスの入り口でもある。Stuxnetがそうであるように、USBメモリからPCに感染する種類のウイルスの数は多いのだ。この点に関しても、一般の情報システムと同様にデバイスの運用ルールと管理とを制御システムの側にも徹底する必要が生じている。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプの攻撃から身を守る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


サイバー攻撃/新しいタイプの攻撃から身を守る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

手間やコストを極力かけず、企業ITの認証環境を強化する 【エントラストジャパン】 データ保全アプライアンス STOREND 【アーク・システムマネジメント】 仮想化技術の普及に対応するIT資産管理のベストプラクティス 【ウチダスペクトラム株式会社】
認証 NAS IT資産管理
サイバー攻撃の巧妙化、クラウド利用の拡大などによって、今まで以上に認証の重要度は増している。手間やコストを極力かけず、企業ITの認証環境を強化するための勘所とは? 専門知識なしでデータバックアップ/リカバリーが行えるNAS。
ハイエンド製品と同様の機能・容量を備えながら、コストを抑えて提供。
「ライセンス管理不備で高額請求」の落とし穴を回避、理想のIT資産管理とは

サイバー攻撃」関連の特集


 ITを駆使して新たな金融サービスを生み出そうとする“FinTech”。今この分野で大きな注目を集め…



昨年と比較して企業でスマホ導入している企業は増えた?減った?iPhone、GALAXY、Xperia…



 数々あるサイバー犯罪の中でも、日本独特ともいえるものがいくつか存在する。先月の記事では、その中でも…


サイバー攻撃」関連のセミナー

クラウドの『プライベート化』戦略 最前線 【ブロードバンドタワー】 注目 

開催日 3月8日(水)   開催地 東京都   参加費 無料

本セミナーでは、自社の業務やビジネスに最適化した、真の意味で「プライベート化」されたインフラづくりをテーマに各界のトップエンジニアより最新テクノロジーの活用術を…

Japan Security Vision 2017 【インターナショナルデーターコーポレイションジャパン】 締切間近 

開催日 3月2日(木)   開催地 東京都   参加費 有料 3万2400円(税込)

■セキュリティは企業の経営戦略の要となる2020年に向かって、デジタルトランスフォーメーション(DX)[※]に対する企業の動きが加速していきます。企業がDXを実…

働き方の多様化とセキュリティを実現する VDI実践セミナー 【ディーアイエスソリューション/日本ヒューレット・パッカード/ヴイエムウェア】  

開催日 3月9日(木)   開催地 東京都   参加費 無料

昨今、企業側には社員への多様な働き方の実現を強く求められる反面、情報漏えいリスクや影響範囲は日増しに高まっています。弊社セミナーでは、このようなセキュリティ脅威…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004082


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ