　これらの情報を基にさらなる攻撃を行いOPCサーバを乗っ取ることができれば、Stuxnetのように制御システムの動作に影響を与えることも可能であろう。さらに、このOperation Dragonflyの手法は、Stuxnetのように特定の施設を狙ったものではなく、今回主ターゲットとなった電力会社だけの話でもない。OPCサーバを持つ制御システム全てが対象となり得るのだ。

　Stuxnetは、特定のベンダーの制御ソフトをハッキングするなど、高度な技術を用いていた。さらに、国家レベルの争いの一環として捉えられていたこともあったため、多くの人が自社のシステムには関係ないと勘違いしてしまった面がある。しかし、Operation Dragonflyの登場は、もっと身近なレベルで制御システムに脅威が迫っていることをわれわれに知らしめる結果となった。

　また、この攻撃の巧妙な点は、制御ソフトアップデート用のインストーラの中にマルウェアを含ませている点である。制御ソフトがインストールされているパソコンはOPCサーバをもつネットワークに接続されている可能性が高い。そのため、OPCサーバを見つける成功率が上がるだろう。

　さらに制御システムにおいて有効とされていて市場に広まりつつあるホワイトリスト型ウイルス対策を行っていたとしても、運用によっては攻撃を受けてしまう危険をはらんでいる（関連記事：制御システム向けの端末防御技術「ホワイトリスト型ウイルス対策」とは？）。

　例えば、ホワイトリストの更新時、ベンダーのWebサイトからダウンロードしたものだから安心だといって動作を許可してしまうケースが考えられる。一時的にテスト用のパソコンにダウンロードして動作確認したり、チェックサムやセキュリティ署名を用いるなどの対策があるが、実運用上なかなか難しいところだ。重要な設備に対しては、ネットワーク監視などの多層的なセキュリティ対策の導入も検討する必要があるだろう。また、当然ではあるが、制御ソフトのアップデータを提供するベンダー側も、自身のWebサイトが攻撃されないように対策することが求められるだろう。

Operation Dragonflyの“真の脅威”

　ここまで見てきたOperation Dragonflyを理解する上で、重要な点をまとめると以下の3つの点となる。

Stuxnetに比べると、攻撃対象が広く、簡単な手法で目的を実現している
将来、制御システムそのものへの攻撃につながる可能性がある
運用方法によっては、ホワイトリスト型ウイルス対策でさえもすり抜けてしまう

　Operation Dragonflyは現象としては小さな炎ではあったが、セキュリティ対策が十分でない制御システムを攻撃するのに、Stuxnetほどのコストは掛からないということを示した点は非常に大きい。

　また、Operation Dragonflyの真の脅威は、次なる攻撃への確実なステップとなっていることだ。今回のターゲットは電力業界であったが、この攻撃手法は業界を問わないことは既に示した通りである。近い将来、われわれはさらに進化した攻撃を目にすることになるかもしれない。

　今後、IoTやIndustry 4.0などの流れもあり、制御システムがインターネットに接続する機会が増え、情報システムとの境目が、ますます曖昧になっていくと考えられる。結果として、サイバー攻撃者が制御システムを攻撃するハードルが下がっていくことが予想される。

　このような状況の中で今、皆さんが関わっている制御システムのセキュリティ対策をもう一度見直す必要がある。現状のセキュリティ対策では、攻撃されたことさえも気付かないというケースも多いのではないか。まずは、こういった脅威についての情報を得ることで、できる範囲でも良いので、運用ルールの見直しや徹底、対策ソリューションの導入などを検討するきっかけとなってくれることを願っている。

「産業制御システムのセキュリティ」バックナンバー