PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機：産業制御システムのセキュリティ（2/2 ページ）

JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催。高度化が進む、制御システムへの攻撃の事例を紹介した。

[三島一孝，MONOist]

PLCを人質に取るランサムウェア

　工場を狙った攻撃も高度化が進んでいる。ブラジルの家具製造工場では、工場内のWindows SCADAとHMIがランサムウェアに感染し、半月間にわたり工場の操業が完全に停止したことがあった。この時ランサムウェアに請求された金額は3061ドルだった。しかし、従来のFAシステムにおいてバックアップを取っていなかったので完全にシステムを再構築することになり約10万ドルの損失になったという。

　さらに、ドイツのセキュリティ研究者が「BlackHat Asia」で講演した内容では、PLCのファンクションブロックとしてワーム（自身を複製して拡散する性質を持ったマルウェア）の動作を記述し、PLC間で感染が広がるような仕組みを考案したことが明らかとされている。同ワームは同じネットワーク内の他のPLCを探索し、それを感染させる能力を持つ。シーメンス製のS7コントローラーを用いて試作・実証され、ネットワーク内で感染したPLCが他のPLCを直接攻撃することが確認されているという。

　同ワームの動作は、ファンクションブロックの記述能力が十分であれば、シーメンス製のPLCに限らず、他のメーカー製のPLCでも動作する。さらにPLC間で感染を広げることからコンピュータを介さずに感染を拡大することができる。

　さらに2014年に複数の研究者が報告したマルウェアとして「IronGate」がある。これはシーメンス製のPLCシミュレーター環境で動作し、本来のライブラリ（DLL）を置き換えて中間者攻撃を行う。現状では制御システムに直接及ぼす被害はなさそうだが、制御システムを狙った本格的なマルウェアを開発するための試作品だと見られている。

　宮地氏は「従来の産業制御システムに対する攻撃は、WindowsやLinuxなどをベースとする、SCADAやHMIのようなITの領域に向けて行われるものだった。しかし、PLCを直接狙うような攻撃が広がろうとしている」と警鐘を鳴らしている。