この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプの攻撃から身を守る

2011/05/24


 前回の第1回記事では、主にStuxnetの仕組みと脅威について紹介した。第2回の今回の記事では、Stuxnetをはじめとする新しいタイプの攻撃(APT)が、難攻不落と見なされてきた制御システムにも攻撃をしかけられるようになった背景について、統計情報を見ながら考えてみる。そのあと、制御システムや業務用の情報システムを問わずに襲ってくるAPTから組織が身を守るためのシステムとネットワーク設計の注意ポイントや推奨事項を紹介しよう。情報の窃取、産業スパイを目的とした業務システムや情報システムへのサイバー攻撃が予想されるいま、APTに対して組織はどのように備えるべきなのだろうか。

サイバー攻撃


1

制御システムのリスクはどこにあるのか

 前回の記事では、イランの原発関連制御システムがAPTによって攻撃された事例や、そこから予想される製造機械への攻撃について紹介した。しかしウイルスが原発や鉄道などの社会インフラに停止などの被害をもたらしたのはStuxnetが初めてではない。2003年にはアメリカの原発で当時猛威をふるっていたウイルスであるSlammerが制御システムを約5時間停止させた。また同年、アメリカの鉄道会社もBlasterウイルスが信号管理システムに感染し、複数路線で列車を停止させた。さらにZotobウイルスは、2005年に自動車製造会社の工場のシステムに感染し、操業停止に追い込んだことがある。
 しかし、これらのウイルス被害とAPTとの大きな違いは、攻撃の複雑さと執拗さだ。APTは一度仕掛けられれば簡単なウイルス駆除対策だけでは済まず、ゼロデイを含む脆弱性を狙う複数の攻撃が繰り返し仕掛けられる。特に外部から特定システムをターゲットにする不正プログラムなどをダウンロードして実行する機能が仕込まれることにより、単純なシステム停止にとどまらず、制御対象の機械などに、攻撃者の意図に沿った動きをさせることができるところに注意が必要だ。攻撃は繰り返し執拗に行われることが多く、長期的に制御情報や機器・施設情報、関連する機密情報などが外部に流出する危険があるばかりでなく、業務妨害やさらに危険な攻撃に結びつく可能性がないとはいえない。

1-1

情報システムから制御システムに忍び込むウイルス

 なぜAPTはそれほど深刻な被害に結びつくような攻撃ができるのか。それは、前回のケースファイル編でも触れたように、感染拡大活動と外部サーバとの通信による不正プログラムなどのダウンロードや実行、さらにはそうした活動を隠蔽してしまう仕組みにより、ターゲットとなる組織が気づかないうちに、特定のシステムの攻略用に作られたさまざまな不正プログラム(ペイロード部)を制御システムに送り込むことができるからだ。
 しかし、産業用機械や社会インフラなどの制御システムは、一般的な情報システムとは別の系統として構成されることが多いので、これまではあまり外部ネットワークからの侵入について配慮されてこなかった。というのも、図1に見るように、製造機械などの制御対象の製品は独自のハードとOSをもつ場合が多く、それらを直接制御するプログラマブルロジックコントローラ(PLC)や分散制御システム(DCS)も専用製品であるため、一般の情報システムがWindows OSを前提にしたウイルスなどで攻撃されたとしても、それが末端の機械まで影響を及ぼすリスクは低いと考えられてきたからだ。

図1 制御システムの構成例
図1 制御システムの構成例
出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」2009年3月)
資料提供:IPA

 ところが、実際にはWindows OSが制御システムでも利用されている例は多い。経済産業省による「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」では、日本のプラント設備での端末におけるOSの利用状況として、図2のような結果を報告している。

図2 プラント設備でのOSの利用状況(端末)
図2 プラント設備でのOSの利用状況(端末)
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 89%の制御システムでWindowsが利用されているというのが実態だ。もちろん図1の下部のような専用製品で構成された部分だけを対象とした調査ではないが、それにしても多い。しかもそれらが外部ネットワークと接続されているかどうかの調査では、図3のような結果になっている。

図3 外部ネットワークとの接続
図3 外部ネットワークとの接続
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 36.8%が外部ネットワークに接続し、そのうちインターネット接続が43%、リモートメンテナンス回線接続が55%だ。外部ネットワークとの接続の仕方や目的は一般の情報システムと違うものの、基本的にはあまり事情は違っていないようだ。実際、近年では制御システムにおいてもTCP/IPやイーサネットなどの標準プロトコルや汎用製品が利用されるケースが多くなっている。これには各種の業務システムや経営管理システムなどと制御システムとの連携が必要となるケースが増えていることも影響している。
 また、汎用OSをあまり使っていない場合であっても、制御情報ネットワークの部分は図1の構成のように、ファイアウォールを介して外部に接続しており、プロトコルはTCP/IPだ。利用する端末もWindows OSが多く、Oracle、MySQL、JAVA などの汎用ソフトウェアが利用されている。
 大きな流れとしては制御システムも標準プロトコルでの通信と汎用OSへと移り変わりつつあり、製品ライフサイクルが10〜20年と長い末端の製造機械などがまだその流れには乗りきれないでいる状況のようだ。やがては無線ネットワークの利用も含めて末端の機器にまでオープン化が進むものと考えられている。上記の実態調査は3年前のものなので、現在はさらにこの傾向は進んでいるものと予想される。
 このような状況から、制御システムと一般の情報システムとの違いは徐々になくなりつつある。これは取りも直さず、一般の情報システムが日々立ち向かっているのと同じ脅威に対する備えを、制御システムの側にも備えなければならないということだ。
 また、もう1つ気になるのは、USBメモリなどが接続可能なコネクタが制御システムにもあることだ。同実態調査では設備内の外部メディアの取り付け口の有無についても調べている(図4)。

図4 プラント設備での外部メディアの取り付け口の有無
図4 プラント設備での外部メディアの取り付け口の有無
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 制御システムでもUSBデバイスの接続が可能な場合が7割を超えている。外部メディアとの接続口は、作業の利便性のためには有用ではあっても、視点を変えればウイルスの入り口でもある。Stuxnetがそうであるように、USBメモリからPCに感染する種類のウイルスの数は多いのだ。この点に関しても、一般の情報システムと同様にデバイスの運用ルールと管理とを制御システムの側にも徹底する必要が生じている。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプの攻撃から身を守る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


サイバー攻撃/新しいタイプの攻撃から身を守る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】 改ざん検知・瞬間復旧ソリューション WebARGUS(ウェブアルゴス) 【デジタル・インフォメーション・テクノロジー】 Cisco Umbrella 【サテライトオフィス】
統合ログ管理 IPS 検疫
・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する
Webサイトを常時監視し、サイバー攻撃・標的型攻撃によって万一改ざんされても、瞬時にそれを検知して1秒未満で元通りに自動修復できるセキュリティ対策ソフト。 マルウェアの90%以上が利用する経路とは? 意外と見落としやすい対策ポイント

サイバー攻撃」関連の特集


 みなさん、こんにちは。ニュートン・コンサルティング株式会社の高橋です。前回は継続業務の洗い出しとそ…



 前回は、企業の情報システムが抱える「脆弱性」について詳しく述べた。今回は、企業がWebサイトを安全…



今回の話をする前に、「ハッカーは大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方…


サイバー攻撃」関連のセミナー

浜松:進化するWebシステム「共創」が生む新たな価値 【【主催】静岡情報処理センター 【共催】日本電気/ダイワボウ情報システム/キヤノンITソリューションズ】  

開催日 8月9日(水)   開催地 静岡県   参加費 無料

【ITソリューションセミナー】進化するWebシステム「共創」が生む新たな価値Webシステムの新規導入、移行、見直しをご検討中の各企業様の悩み(高い・時間がかかる…

感染後の二次被害対策!WannaCryもIoTセキュリティもこれ1台でOK 【ネットワールド/ハンドリームネット】 締切間近 

開催日 6月27日(火)   開催地 東京都   参加費 無料

セキュリティ + L2スイッチ + 監視 = 『SubGate』 すでに大きなニュースにもなっていますが、先日ランサムウェア「WannaCry」を用いた世界同時…

事例で学ぶ、実践的サイバー演習 【ニュートン・コンサルティング】  

開催日 8月29日(火)   開催地 東京都   参加費 有料 5万4000円(税込)

サイバー演習の実施方法とその効果を短時間で実感できるコース設計となっています。サイバー攻撃は多種多様であることから、近年のトレンドを踏まえた事例に学ぶ形で演習を…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004082


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ