この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプの攻撃から身を守る

2011/05/24


 前回の第1回記事では、主にStuxnetの仕組みと脅威について紹介した。第2回の今回の記事では、Stuxnetをはじめとする新しいタイプの攻撃(APT)が、難攻不落と見なされてきた制御システムにも攻撃をしかけられるようになった背景について、統計情報を見ながら考えてみる。そのあと、制御システムや業務用の情報システムを問わずに襲ってくるAPTから組織が身を守るためのシステムとネットワーク設計の注意ポイントや推奨事項を紹介しよう。情報の窃取、産業スパイを目的とした業務システムや情報システムへのサイバー攻撃が予想されるいま、APTに対して組織はどのように備えるべきなのだろうか。

サイバー攻撃


1

制御システムのリスクはどこにあるのか

 前回の記事では、イランの原発関連制御システムがAPTによって攻撃された事例や、そこから予想される製造機械への攻撃について紹介した。しかしウイルスが原発や鉄道などの社会インフラに停止などの被害をもたらしたのはStuxnetが初めてではない。2003年にはアメリカの原発で当時猛威をふるっていたウイルスであるSlammerが制御システムを約5時間停止させた。また同年、アメリカの鉄道会社もBlasterウイルスが信号管理システムに感染し、複数路線で列車を停止させた。さらにZotobウイルスは、2005年に自動車製造会社の工場のシステムに感染し、操業停止に追い込んだことがある。
 しかし、これらのウイルス被害とAPTとの大きな違いは、攻撃の複雑さと執拗さだ。APTは一度仕掛けられれば簡単なウイルス駆除対策だけでは済まず、ゼロデイを含む脆弱性を狙う複数の攻撃が繰り返し仕掛けられる。特に外部から特定システムをターゲットにする不正プログラムなどをダウンロードして実行する機能が仕込まれることにより、単純なシステム停止にとどまらず、制御対象の機械などに、攻撃者の意図に沿った動きをさせることができるところに注意が必要だ。攻撃は繰り返し執拗に行われることが多く、長期的に制御情報や機器・施設情報、関連する機密情報などが外部に流出する危険があるばかりでなく、業務妨害やさらに危険な攻撃に結びつく可能性がないとはいえない。

1-1

情報システムから制御システムに忍び込むウイルス

 なぜAPTはそれほど深刻な被害に結びつくような攻撃ができるのか。それは、前回のケースファイル編でも触れたように、感染拡大活動と外部サーバとの通信による不正プログラムなどのダウンロードや実行、さらにはそうした活動を隠蔽してしまう仕組みにより、ターゲットとなる組織が気づかないうちに、特定のシステムの攻略用に作られたさまざまな不正プログラム(ペイロード部)を制御システムに送り込むことができるからだ。
 しかし、産業用機械や社会インフラなどの制御システムは、一般的な情報システムとは別の系統として構成されることが多いので、これまではあまり外部ネットワークからの侵入について配慮されてこなかった。というのも、図1に見るように、製造機械などの制御対象の製品は独自のハードとOSをもつ場合が多く、それらを直接制御するプログラマブルロジックコントローラ(PLC)や分散制御システム(DCS)も専用製品であるため、一般の情報システムがWindows OSを前提にしたウイルスなどで攻撃されたとしても、それが末端の機械まで影響を及ぼすリスクは低いと考えられてきたからだ。

図1 制御システムの構成例
図1 制御システムの構成例
出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」2009年3月)
資料提供:IPA

 ところが、実際にはWindows OSが制御システムでも利用されている例は多い。経済産業省による「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」では、日本のプラント設備での端末におけるOSの利用状況として、図2のような結果を報告している。

図2 プラント設備でのOSの利用状況(端末)
図2 プラント設備でのOSの利用状況(端末)
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 89%の制御システムでWindowsが利用されているというのが実態だ。もちろん図1の下部のような専用製品で構成された部分だけを対象とした調査ではないが、それにしても多い。しかもそれらが外部ネットワークと接続されているかどうかの調査では、図3のような結果になっている。

図3 外部ネットワークとの接続
図3 外部ネットワークとの接続
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 36.8%が外部ネットワークに接続し、そのうちインターネット接続が43%、リモートメンテナンス回線接続が55%だ。外部ネットワークとの接続の仕方や目的は一般の情報システムと違うものの、基本的にはあまり事情は違っていないようだ。実際、近年では制御システムにおいてもTCP/IPやイーサネットなどの標準プロトコルや汎用製品が利用されるケースが多くなっている。これには各種の業務システムや経営管理システムなどと制御システムとの連携が必要となるケースが増えていることも影響している。
 また、汎用OSをあまり使っていない場合であっても、制御情報ネットワークの部分は図1の構成のように、ファイアウォールを介して外部に接続しており、プロトコルはTCP/IPだ。利用する端末もWindows OSが多く、Oracle、MySQL、JAVA などの汎用ソフトウェアが利用されている。
 大きな流れとしては制御システムも標準プロトコルでの通信と汎用OSへと移り変わりつつあり、製品ライフサイクルが10〜20年と長い末端の製造機械などがまだその流れには乗りきれないでいる状況のようだ。やがては無線ネットワークの利用も含めて末端の機器にまでオープン化が進むものと考えられている。上記の実態調査は3年前のものなので、現在はさらにこの傾向は進んでいるものと予想される。
 このような状況から、制御システムと一般の情報システムとの違いは徐々になくなりつつある。これは取りも直さず、一般の情報システムが日々立ち向かっているのと同じ脅威に対する備えを、制御システムの側にも備えなければならないということだ。
 また、もう1つ気になるのは、USBメモリなどが接続可能なコネクタが制御システムにもあることだ。同実態調査では設備内の外部メディアの取り付け口の有無についても調べている(図4)。

図4 プラント設備での外部メディアの取り付け口の有無
図4 プラント設備での外部メディアの取り付け口の有無
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 制御システムでもUSBデバイスの接続が可能な場合が7割を超えている。外部メディアとの接続口は、作業の利便性のためには有用ではあっても、視点を変えればウイルスの入り口でもある。Stuxnetがそうであるように、USBメモリからPCに感染する種類のウイルスの数は多いのだ。この点に関しても、一般の情報システムと同様にデバイスの運用ルールと管理とを制御システムの側にも徹底する必要が生じている。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプの攻撃から身を守る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


サイバー攻撃/新しいタイプの攻撃から身を守る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の特集


 最終回となる今回は、複雑化した凶悪マルウェアともいえる「Web誘導感染型マルウェア」の詳細をおさら…



話題のブロックチェーン技術、聞いたことはあるけど詳しくは知らない…そんな方にお届けするブロックチェー…



 前回はP2Pファイル共有ソフトと暴露マルウェアについて概要を紹介した。その中でもつい最近、作成者が…


サイバー攻撃」関連のセミナー

【1/24 千葉開催】次世代工場ネットワークセミナー 【日本電気】  

開催日 1月24日(水)   開催地 千葉県   参加費 無料

〜2018年1月24日(水) 千葉開催〜NECはこのたび、次世代工場ネットワークセミナー〜IoT時代に向け今から備えるべきインフラとは?〜(無料)を開催します。…

CylancePROTECT ご紹介セミナー 【日立ソリューションズ】  

開催日 12月20日(水)   開催地 大阪府   参加費 無料

 増え続けるサイバー攻撃。特にマルウェアによる攻撃は増加の一途をたどっています。 また攻撃手法も巧妙化が進み、新種や亜種も続々と現れています。ネットワークセキュ…

半日で習得するCSIRT構築の重要ポイント 【ニュートン・コンサルティング】  

開催日 1月24日(水),3月23日(金)   開催地 東京都   参加費 有料 5万4000円(税込)

 CSIRTを効率的・効果的に構築するためには、ゼロから構築するのではなく、既存のインシデントレスポンス体制等を徹底的に活用することが重要なポイントです。 CS…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004082


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ