生産ラインにマルウェアが侵入したらこんな感じで被害が生まれます場面で学ぶ制御システムセキュリティ講座(2)(1/3 ページ)

制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。2回目となる今回は「不正プログラムによって生産ラインが止まった段階」から、「不正プログラムの特定、駆除」までを、「DOWNAD」という非常に多くの感染例がある不正プログラムを例に解説する。

» 2014年10月28日 09時00分 公開
[原聖樹/トレンドマイクロ,MONOist]

 制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。前回の「工場管理者必見! 攻撃者視点で考える制御システムの不正プログラム感染」では、不正プログラムについての一般的な解説をしたが、2回目となる今回は、具体的な不正プログラム「DOWNAD(別名Conficker)」を例に挙げ、どういったことが発生し得るのかを場面ごとに解説する。



DOWNADとは

 DOWNADは2008年後半に最初に確認されて以降、参考記事のようにいまだに続く脅威であり、かつ制御システムにおいても感染報告が多い不正プログラム(マルウェア)だ。そのため今回はDOWNADを例として取り上げる。

※)参考1:初確認から5年。いまだその脅威は健在

※)参考2:かつて世間を騒がしたワーム「DOWNAD」。この脅威は、いまだ続く!

 DOWNADは、クローズドネットワークで、外部と切り離された環境でもUSBメモリ経由で入り込む可能性があり、一度内部に入ると、Windowsの脆弱性を利用して内部ネットワークを経由して感染拡大する。特に制御システムにおいては、古いOSやパッチ未適用の環境が多くあることにより、被害が広がりやすいのである。

突然のシステムダウン!

 実際にDOWNADが生産ラインに入り込んだケースを紹介しよう。これはDOWNAD感染時に実際に発生しうるシナリオである。

 ある日、生産ラインのシステムの一部がダウンした。現場担当者は、決められた手順に従ってシステム復旧を試みたが、その後も複数の端末でシステムダウンが続発した。

 複数台でトラブルが発生したことから、端末の故障ではないだろうと判断。情報システム部門の助けを借りながら、ネットワークの調査を行ったところ、「TCPの445番ポート」に対する通信が増大していることが判明した。

 担当者は、不正プログラムの感染を疑い、445番を使う不正プログラムをインターネットで検索したところ、DOWNADに関する記事が多くヒットした。それらの情報を基に、感染した場合に作成されるファイルやレジストリ情報の調査をした結果、ようやくDOWNADに感染していることが判明した。

 DOWNADの感染時には、実際にシステムがダウンするケースがある。しかし、読者の皆さんのネットワーク環境で、実際にシステムがダウンした場合、すぐに不正プログラムが原因だと特定できるだろうか。

 生産ラインの担当からすれば、不正プログラムを疑う前に、他にも確認すべき点も多いだろう。そのため、不正プログラムが原因であると判断できるまでには、数時間から数日掛かってしまうのである。

 ちなみにDOWNADは非常に多くの感染例があるため、特定の通信が増大しているという情報だけで、インターネットでもすぐに情報は見つかる。これが新種の不正プログラムや、あまり情報がない不正プログラムの場合だと、さらに問題の特定に時間を要することになってしまうのである。

駆除をどうするか

 不正プログラムがDOWNADであると特定できたとして、ではどう駆除を行うべきだろうか。セキュリティ対策をしていない環境で不正プログラムを取り除く場合、手順を間違えると、被害が広がるケースがある。以下によくある失敗例を示す。

Step1:DOWNAD感染の可能性が高いため、インターネットで配布されているフリーのDOWNAD駆除プログラムを準備し、駆除作業を開始。

Step2:感染していると思われる端末に駆除プログラムを置き実行。駆除成功となったため、次に他の端末でも同様の作業を実施。

結果:ところが、一通りの端末で駆除作業を行ったにもかかわらず、状況は改善するどころか、駆除した端末にもDOWNADが再感染し、ネットワークトラフィックも急増する。そして、システムダウンする端末がさらに増加する事態となった。

 多くの場合、これらの企業から筆者の所属企業であるトレンドマイクロに駆除支援の依頼が来るのは不正プログラムが手におえなくなったこのタイミングである。一連の駆除作業において、何が問題なのだろうか。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.