この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

新しいタイプの攻撃から身を守る

2011/05/24


 前回の第1回記事では、主にStuxnetの仕組みと脅威について紹介した。第2回の今回の記事では、Stuxnetをはじめとする新しいタイプの攻撃(APT)が、難攻不落と見なされてきた制御システムにも攻撃をしかけられるようになった背景について、統計情報を見ながら考えてみる。そのあと、制御システムや業務用の情報システムを問わずに襲ってくるAPTから組織が身を守るためのシステムとネットワーク設計の注意ポイントや推奨事項を紹介しよう。情報の窃取、産業スパイを目的とした業務システムや情報システムへのサイバー攻撃が予想されるいま、APTに対して組織はどのように備えるべきなのだろうか。

サイバー攻撃


1

制御システムのリスクはどこにあるのか

 前回の記事では、イランの原発関連制御システムがAPTによって攻撃された事例や、そこから予想される製造機械への攻撃について紹介した。しかしウイルスが原発や鉄道などの社会インフラに停止などの被害をもたらしたのはStuxnetが初めてではない。2003年にはアメリカの原発で当時猛威をふるっていたウイルスであるSlammerが制御システムを約5時間停止させた。また同年、アメリカの鉄道会社もBlasterウイルスが信号管理システムに感染し、複数路線で列車を停止させた。さらにZotobウイルスは、2005年に自動車製造会社の工場のシステムに感染し、操業停止に追い込んだことがある。
 しかし、これらのウイルス被害とAPTとの大きな違いは、攻撃の複雑さと執拗さだ。APTは一度仕掛けられれば簡単なウイルス駆除対策だけでは済まず、ゼロデイを含む脆弱性を狙う複数の攻撃が繰り返し仕掛けられる。特に外部から特定システムをターゲットにする不正プログラムなどをダウンロードして実行する機能が仕込まれることにより、単純なシステム停止にとどまらず、制御対象の機械などに、攻撃者の意図に沿った動きをさせることができるところに注意が必要だ。攻撃は繰り返し執拗に行われることが多く、長期的に制御情報や機器・施設情報、関連する機密情報などが外部に流出する危険があるばかりでなく、業務妨害やさらに危険な攻撃に結びつく可能性がないとはいえない。

1-1

情報システムから制御システムに忍び込むウイルス

 なぜAPTはそれほど深刻な被害に結びつくような攻撃ができるのか。それは、前回のケースファイル編でも触れたように、感染拡大活動と外部サーバとの通信による不正プログラムなどのダウンロードや実行、さらにはそうした活動を隠蔽してしまう仕組みにより、ターゲットとなる組織が気づかないうちに、特定のシステムの攻略用に作られたさまざまな不正プログラム(ペイロード部)を制御システムに送り込むことができるからだ。
 しかし、産業用機械や社会インフラなどの制御システムは、一般的な情報システムとは別の系統として構成されることが多いので、これまではあまり外部ネットワークからの侵入について配慮されてこなかった。というのも、図1に見るように、製造機械などの制御対象の製品は独自のハードとOSをもつ場合が多く、それらを直接制御するプログラマブルロジックコントローラ(PLC)や分散制御システム(DCS)も専用製品であるため、一般の情報システムがWindows OSを前提にしたウイルスなどで攻撃されたとしても、それが末端の機械まで影響を及ぼすリスクは低いと考えられてきたからだ。

図1 制御システムの構成例
図1 制御システムの構成例
出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」2009年3月)
資料提供:IPA

 ところが、実際にはWindows OSが制御システムでも利用されている例は多い。経済産業省による「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」では、日本のプラント設備での端末におけるOSの利用状況として、図2のような結果を報告している。

図2 プラント設備でのOSの利用状況(端末)
図2 プラント設備でのOSの利用状況(端末)
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 89%の制御システムでWindowsが利用されているというのが実態だ。もちろん図1の下部のような専用製品で構成された部分だけを対象とした調査ではないが、それにしても多い。しかもそれらが外部ネットワークと接続されているかどうかの調査では、図3のような結果になっている。

図3 外部ネットワークとの接続
図3 外部ネットワークとの接続
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 36.8%が外部ネットワークに接続し、そのうちインターネット接続が43%、リモートメンテナンス回線接続が55%だ。外部ネットワークとの接続の仕方や目的は一般の情報システムと違うものの、基本的にはあまり事情は違っていないようだ。実際、近年では制御システムにおいてもTCP/IPやイーサネットなどの標準プロトコルや汎用製品が利用されるケースが多くなっている。これには各種の業務システムや経営管理システムなどと制御システムとの連携が必要となるケースが増えていることも影響している。
 また、汎用OSをあまり使っていない場合であっても、制御情報ネットワークの部分は図1の構成のように、ファイアウォールを介して外部に接続しており、プロトコルはTCP/IPだ。利用する端末もWindows OSが多く、Oracle、MySQL、JAVA などの汎用ソフトウェアが利用されている。
 大きな流れとしては制御システムも標準プロトコルでの通信と汎用OSへと移り変わりつつあり、製品ライフサイクルが10〜20年と長い末端の製造機械などがまだその流れには乗りきれないでいる状況のようだ。やがては無線ネットワークの利用も含めて末端の機器にまでオープン化が進むものと考えられている。上記の実態調査は3年前のものなので、現在はさらにこの傾向は進んでいるものと予想される。
 このような状況から、制御システムと一般の情報システムとの違いは徐々になくなりつつある。これは取りも直さず、一般の情報システムが日々立ち向かっているのと同じ脅威に対する備えを、制御システムの側にも備えなければならないということだ。
 また、もう1つ気になるのは、USBメモリなどが接続可能なコネクタが制御システムにもあることだ。同実態調査では設備内の外部メディアの取り付け口の有無についても調べている(図4)。

図4 プラント設備での外部メディアの取り付け口の有無
図4 プラント設備での外部メディアの取り付け口の有無
出典:経済産業省「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業報告書(2009年3月)」

 制御システムでもUSBデバイスの接続が可能な場合が7割を超えている。外部メディアとの接続口は、作業の利便性のためには有用ではあっても、視点を変えればウイルスの入り口でもある。Stuxnetがそうであるように、USBメモリからPCに感染する種類のウイルスの数は多いのだ。この点に関しても、一般の情報システムと同様にデバイスの運用ルールと管理とを制御システムの側にも徹底する必要が生じている。

セキュリティ情報局にご登録頂いた方限定で「新しいタイプの攻撃から身を守る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


サイバー攻撃/新しいタイプの攻撃から身を守る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

データ保全アプライアンス STOREND 【アーク・システムマネジメント】 SSLを悪用するサイバー攻撃の手口と対策を解説 【マクニカネットワークス】 ランサムウェア対策ソフト 「RANSOMFILTER」 【Jiransoft Japan】
NAS 暗号化 アンチウイルス
専門知識なしでデータバックアップ/リカバリーが行えるNAS。
ハイエンド製品と同様の機能・容量を備えながら、コストを抑えて提供。
暗号化が危険を招く原因に? SSLを悪用するサイバー攻撃の手口と対策を解説 ランサムウェア対策に特化し、未知のランサムウェアの攻撃からPCを防御するセキュリティソフトウェア。無料評価版により180日間の試用ができる。

サイバー攻撃」関連の特集


 独立行政法人 情報処理推進機構(略称IPA)は、2012年10月30日に『標的型攻撃メールの傾向と…



なぜバックアップが必要なのか。その理由は何かトラブルが発生したとしても業務を継続できることだ。ここに…



2016年1月から始まるマイナンバー制度への対応に役立つ「マイナンバー支援サービス」。収集から管理ま…


サイバー攻撃」関連のセミナー

金融ICT カンファレンス 2016 【ナノオプト・メディア】  

開催日 12月9日(金)   開催地 東京都   参加費 無料

Fintech 時代に求められる金融業界が取り組むべき課題改善の重要なポイントを企業の成功事例を中心に、最先端テクノロジーとソリューションを一挙解説する。■キー…

今求められるサイバー攻撃対策とは:東京 【主催:日本ユニシス 共催:ユニアデックス】 締切間近 

開催日 12月19日(月)   開催地 東京都   参加費 無料

特定の組織や個人を狙った標的型攻撃に加え、金銭等を目的としたばらまき型攻撃(ランサムウェア等)も猛威を振るっております。その手口や手法も高度かつ巧妙になっており…

【12/13東京開催】そのセキュリティパッチは本当に当たってる? 【日本電気】 締切間近 

開催日 12月13日(火)   開催地 東京都   参加費 無料

〜2016年12月13日(火) 東京開催〜NECはこのたび、「そのセキュリティパッチは本当に当たってる?たった1台のセキュリティ対策漏れが脅威になる!脆弱性対策…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004082


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ