制御システムを取り巻く環境の変化としては、次の2点が指摘できる。これらの結果、制御システム特有の事情が薄れたことで、攻撃対象としてのハードルが下がったと考えられる。
「制御システム間の通信インタフェースのイーサネット化」については、制御システム技術者にとっては肌で感じているところだろう。10年前は、RS-232C、RS-422/485といったシリアル通信インタフェースが一般的だったが、工場やプラントのLAN化に伴い制御システム間の通信インタフェースにも急速にイーサネットが広まっていった。例えばその流れは、国内PLC(Programmable Logic Controller)の内蔵通信ポートの変遷にも見て取ることができる。
工場のLAN化が進むにつれて、2004年ごろから国内PLCのCPUにイーサネットポートを内蔵するものが出てきたが、現状では主要各社のCPUのフラグシップモデルにはイーサネットポート内蔵が当たり前となっている。代わりにシリアル通信ポートがなくなっていったことは、時代の流れを反映しているといえるだろう。こうしたイーサネット化のおかげで、ケーブルやプロトコルの汎用化、通信高速化のメリットを享受できるようになった。その代わりに、セキュリティの問題にも直面せざるを得なくなったのである。
「制御システムの汎用OS化」についても同様のことがいえる。これまで、割り込み精度の必要性、可用性を重視する(いきなりブルースクリーンになったら困る!)など制御システム特有の事情、あるいはコストの問題で、リアルタイムOSや独自OSを用いることが一般的であった。
しかし、Windows EmbeddedやLinuxなどの技術的な進化に伴い、例えばプラント制御に用いられるDCS(Distributed Control System、分散制御システム)で、汎用OSが採用されるケースが増えている。今後もその流れは加速していくものと思われる。こうした汎用OS採用の流れによって、従来のマルウェア感染の危険が高まるだけでなく、今後、攻撃者側に必要とされる技術のハードルも下がることになるのは当然といえるだろう。
制御システムを狙った攻撃で最もよく知られているのは、Stuxnetである。このイランの核施設を標的としたとされるサイバー攻撃については次回詳述するが、Stuxnetの登場を契機に、制御システムのセキュリティに注目が集まり、世界の攻撃者が制御システムという新たな標的を見つけたという意味では、Stuxnetは歴史を変えたマルウェアといえるのかもしれない。
Stuxnet以前にも、制御システムがマルウェアに感染することはあった。実際に2003年の「Slammer」※2)、2005年の「Zotob」※3)、そして2008年から現在に至っても猛威を奮い続けている「Conficker」※4)のようなマルウェアがUSBメモリなどを介して、工場やプラント内のパソコンなどに感染し、駆除のために稼働が止まって多大な損害が出るという話は、実は枚挙にいとまがない。2012年に経済産業省が行った調査でも、工場の制御システムがマルウェアに感染し、操業停止に追い込まれるなどの被害が2011年3月までに少なくとも10件発生していたことが分かっている。もちろん実際にはもっと多くの被害が出ているだろうことは想像に難くない。
※2) Slammer: Microsoft SQL Server 2000 および MSDE 2000の不具合を利用してUDP1434 ポート(SQL Server 2000 解決サービスで使用するポート)に対して UDP の攻撃パケットを送信するワーム。これらの活動により、ネットワークの帯域やCPU使用率の上昇によりシステムのパフォーマンスを低下させるおそれがある。
※3) Zotob: Windows 2000を主な攻撃対象とし、そのプラグアンドプレイ機能に存在していた脆弱性を利用して侵入する。侵入後にバックドアを設けたり、自動的に再起動を行ったりといった症状を起こすインターネットワームの一種。
※4) Conficker: Windows 2000, XP, Vista, 7, Server2003, Server 2008などを対象とするワーム。このワームは、管理者のパスワードを攻撃しネットワーク上のコンピュータと接続する。Confickerの感染は急速に拡大しており、現在もマルウェア感染原因の上位を占めている。
では、Stuxnetとこれらマルウェアとの大きな違いは何なのか。それは、明確に特定の制御システムを標的とし、システムを破壊、妨害するために作られているという点である。単なるマルウェア感染が原因であれば、その責任は、工場やプラントのセキュリティポリシーなどに求めることができるかもしれない。実際、上記被害の原因の大半はUSBメモリの管理不良である。
しかし、制御システムそのものの脆弱性(バグや仕様上の欠陥で、悪意ある攻撃に利用できるもの)を狙われた場合、そう言い切れるだろうか。これまでの常識として、制御システムは、インターネットにもつながっておらず、内部のシステムも特殊だから情報セキュリティ的な観点では安全であるという“神話”があった。そのため、制御システムの通信の大半は暗号化や認証がされておらず、攻撃者が悪用しやすい状態となっている。まさに、今、攻撃者はこの点に着目してサイバー攻撃を行っているのである。
また、最近では、例えば特定のPLCやDCSのシステムの脆弱性を見つけた上で、製造元ベンダーとコンタクトを取り、代金と引き換えに、対応が完了するまで脆弱性を公開しないでおくといったビジネスも出てきている。実際に代金を支払ったベンダーもいるようだ。もはや、制御システムベンダーにとっての脅威はサイバー攻撃だけではないといえる。
可用性を重視して、バグや仕様上の欠陥があってもシステムをアップデートせず、それらを回避してなるべく使い続けるというこれまでの考え方が通用しなくなる時代が来つつあるのかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.