あなたの工場はこうやって襲われる！ ――標的型攻撃の典型パターンとは？：産業制御システムのセキュリティ（4）（2/2 ページ）

JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催した。今回はその中から、最近のセキュリティ脅威の状況がどのように制御システムの危機につながるのか、仮想事例を基に分かりやすく紹介したJPCERTコーディネーションセンター 理事で分析センター長の真鍋敬士氏の講演内容をお伝えする。

[三島一孝，MONOist]

αの全社調査の結果

　インシデント発生から4週目に入り、全社調査が行われた結果、各部門でさまざまな不審な事案が起きていることが明らかになった。

• 人事部門：先週から不審なメールが何通も届いている
• システム部門：先々週からVPNサーバへの不審な接続試みが続いている
• 製造部門：先々週にマルウェアが混入したDVD−Rが郵送されていた
• 取引先γ：αへの侵入はまだなかったが、6カ月前に外部から侵入されていた

　これらの事案はいずれも防御できていたため、意思決定層に対する報告は上がっていなかったという。

4週目：αの全社調査の結果

ついに攻撃の全容が明らかに

　ここに来て、ようやく攻撃の全容が明らかになり、αを狙った標的型攻撃が明らかになった。自社内のさまざまな部門だけでなく、取引先やよく使うWebサイトなども巻き込みさまざまな手段を使い、次々と攻めてくる状況が見えてきた。

攻撃の全容が明らかに

終わりの見えない標的型攻撃の強さ

　真鍋氏は「脅威には、愉快犯など広い対象を持つ脅威と、標的型攻撃など特定の対象に向かう脅威の2種類がある。どちらもインシデントに気付くのは、社内の検知システムによるものであるケースが多いが、取るべき対応は両方のケースで大きく変わる。広い対象を持つ脅威は守りを固めて排除すればそれで大丈夫だが、特定対象を狙う場合には観察して、全社で積極的な対応を取っていく必要がある」と指摘する。

　今回の事案では、再侵入により全社調査に踏み切り、標的型攻撃であることを確認できた。真鍋氏は「標的型攻撃に終わりはなく、継続的に観察を続けていくことが対策につながる」と話している。

　標的型攻撃の際に想定される被害としては、「情報漏えい」などが一般的だが、踏み台とされて、より大きな組織の攻撃材料になるケースなども多く存在する。それが、重要インフラの乗っ取りなどにつながるケースもあり、自社PCのマルウェア感染が大惨事の一端となる可能性もある。

　真鍋氏は「今回の仮想事案では、最終目標が工場だった可能性もある。製造部門のPCが乗っ取られ、工場との間でUSBメモリでの情報交換が行われていたとすれば、工場が大きな被害を受けたかもしれない。またサプライチェーン上つながりのある企業への攻撃に使われるかもしれない。工場の中にそうした攻撃に対する耐性が用意されているかどうかは大きなポイントだ」と語る。

工場がターゲットの場合

　またセキュリティ被害としてそれほど意識されるケースも少ないが、サーバや端末、ログ類の調査費用や、これらの調査に伴う通常業務の影響など、インシデント発生時に必要な費用は1000万〜数千万円に及ぶとされている。

標的型攻撃から身を守るには事前対策が重要

　「標的型攻撃の影響は非常に大きく、事後の対応で被害を抑えるのが難しいことは明らかだ」と真鍋氏は話す。そして事前対策のポイントとして、「情報集約や情報連携の取り組み」、トレーニングなど「攻撃との共存を意識した環境づくり」、何を守るべきかを把握する「情報資産の把握と保護」の3つを挙げている。

危機を迎える制御システムのセキュリティ対策とは？：「制御システムセキュリティ」コーナーへ

工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。