制御システム破りの“定石”、「Operation Dragonfly」がもたらす“真の脅威”:産業制御システムのセキュリティ(2/2 ページ)
2014年6月に、欧州の電力会社に向けたサイバー攻撃が明らかになった。「Operation Dragonfly(オペレーションドラゴンフライ)」と名付けられた同攻撃は、イランの核施設のPLCを狙ったマルウェア「Stuxnet(スタックスネット)」以来となる制御システムを標的にした大規模攻撃だと注目を集めている。「Operation Dragonfly」の特徴とその“真の脅威”についてお伝えする。
Operation Dragonfly の特徴
このマルウェアは、OPCサーバの情報を取得して外部に送信するので、Stuxnetほど高度で複雑なものではない。また実被害も小さなものだ。しかし、OPCサーバが制御システムを管理していることを考えれば、接続しているOPCサーバの情報は、さらなる攻撃の準備として用いられる可能性がある。
これらの情報を基にさらなる攻撃を行いOPCサーバを乗っ取ることができれば、Stuxnetのように制御システムの動作に影響を与えることも可能であろう。さらに、このOperation Dragonflyの手法は、Stuxnetのように特定の施設を狙ったものではなく、今回主ターゲットとなった電力会社だけの話でもない。OPCサーバを持つ制御システム全てが対象となり得るのだ。
Stuxnetは、特定のベンダーの制御ソフトをハッキングするなど、高度な技術を用いていた。さらに、国家レベルの争いの一環として捉えられていたこともあったため、多くの人が自社のシステムには関係ないと勘違いしてしまった面がある。しかし、Operation Dragonflyの登場は、もっと身近なレベルで制御システムに脅威が迫っていることをわれわれに知らしめる結果となった。
また、この攻撃の巧妙な点は、制御ソフトアップデート用のインストーラの中にマルウェアを含ませている点である。制御ソフトがインストールされているパソコンはOPCサーバをもつネットワークに接続されている可能性が高い。そのため、OPCサーバを見つける成功率が上がるだろう。
さらに制御システムにおいて有効とされていて市場に広まりつつあるホワイトリスト型ウイルス対策を行っていたとしても、運用によっては攻撃を受けてしまう危険をはらんでいる(関連記事:制御システム向けの端末防御技術「ホワイトリスト型ウイルス対策」とは?)。
例えば、ホワイトリストの更新時、ベンダーのWebサイトからダウンロードしたものだから安心だといって動作を許可してしまうケースが考えられる。一時的にテスト用のパソコンにダウンロードして動作確認したり、チェックサムやセキュリティ署名を用いるなどの対策があるが、実運用上なかなか難しいところだ。重要な設備に対しては、ネットワーク監視などの多層的なセキュリティ対策の導入も検討する必要があるだろう。また、当然ではあるが、制御ソフトのアップデータを提供するベンダー側も、自身のWebサイトが攻撃されないように対策することが求められるだろう。
Operation Dragonflyの“真の脅威”
ここまで見てきたOperation Dragonflyを理解する上で、重要な点をまとめると以下の3つの点となる。
- Stuxnetに比べると、攻撃対象が広く、簡単な手法で目的を実現している
- 将来、制御システムそのものへの攻撃につながる可能性がある
- 運用方法によっては、ホワイトリスト型ウイルス対策でさえもすり抜けてしまう
Operation Dragonflyは現象としては小さな炎ではあったが、セキュリティ対策が十分でない制御システムを攻撃するのに、Stuxnetほどのコストは掛からないということを示した点は非常に大きい。
また、Operation Dragonflyの真の脅威は、次なる攻撃への確実なステップとなっていることだ。今回のターゲットは電力業界であったが、この攻撃手法は業界を問わないことは既に示した通りである。近い将来、われわれはさらに進化した攻撃を目にすることになるかもしれない。
今後、IoTやIndustry 4.0などの流れもあり、制御システムがインターネットに接続する機会が増え、情報システムとの境目が、ますます曖昧になっていくと考えられる。結果として、サイバー攻撃者が制御システムを攻撃するハードルが下がっていくことが予想される。
このような状況の中で今、皆さんが関わっている制御システムのセキュリティ対策をもう一度見直す必要がある。現状のセキュリティ対策では、攻撃されたことさえも気付かないというケースも多いのではないか。まずは、こういった脅威についての情報を得ることで、できる範囲でも良いので、運用ルールの見直しや徹底、対策ソリューションの導入などを検討するきっかけとなってくれることを願っている。
危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
関連キーワード
セキュリティ | Stuxnet | マルウェア | 運用管理 | サイバー攻撃 | セキュリティ対策 | ホワイトリスト・ブラックリスト | 工場 | McAfee(マカフィー) | ソフトウェアアップデート | 産業制御システムのセキュリティ | ハッキング | 制御機器
関連記事
制御システムを狙ったマルウェア「Stuxnet」って何?
制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。2回目は、世間を騒がせたマルウェア「スタックスネット(Stuxnet)」とは何なのか、ということを解説する。
なぜ今、制御システムセキュリティがアツいのか?
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト(啓蒙することを使命とする人)である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。
あなたの工場はこうやって襲われる! ――標的型攻撃の典型パターンとは?
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催した。今回はその中から、最近のセキュリティ脅威の状況がどのように制御システムの危機につながるのか、仮想事例を基に分かりやすく紹介したJPCERTコーディネーションセンター 理事で分析センター長の真鍋敬士氏の講演内容をお伝えする。- テーマサイト「制御システムセキュリティ」
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.