2019 年 12 月 09 日
どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
ビル管理システムがサイバー攻撃を受けることを仮定し、サイバートラスト株式会社は、あらゆるペネトレーションテスト(侵入検査)を実施して対策を講じている。
最新の攻撃シナリオと、それに対するソリューションを同社の宮坂氏から伺った。
IT システムとの大きな違いは攻撃のシナリオ
―― ペネトレーションテスト(侵入検査)というと、Web サイトやネットワークシステムなどの IT システムを対象とするものと考える人が多いと思うのですが、貴社が提供しているビル管理システムを対象とするペネトレーションテストとは、どのようなものですか。
宮坂:弊社はこれまで、IT システムに対するペネトレーションテストサービスを提供してきました。しかし近年は、ビル設備に IoT の仕組みを用いるようになり、センサーを使ってさまざまなデータを得るようなシステムが普及してきたことで、従来行っていた IT システムだけではなく、ビル設備に対するペネトレーションテストもニーズが高まっています。そのため弊社ではビル設備に対するペネトレーションテストを、新たなサービスとして開発しました。
―― IT システムへのペネトレーションテストとの違いは何でしょうか。
宮坂:大きな違いは攻撃シナリオです。IT システムへの攻撃では、対象となるサーバー上に置かれている重要データを奪取することが一番の目的になるのに対し、OT(運用技術)システムでは、機器を停止させたり、不正に動かしたりすることが攻撃の目的になります。ビル管理システムは、空調や照明、入退管理のゲート、自家発電機、エレベーターのような運搬機まで制御していますから、それらを不正に動かされることで、人命に関わるような事故につながることもありえます。ビル管理システムでは多岐にわたる機器や設備を管理・監視します。電力設備や空調設備、防災・防犯など人的コストとなっていた多くの管理をオートメーション化することが目的となっているため、利便性や費用対効果は非常に望めますが、それに伴いサイバー空間における脅威も比例して肥大化してしまう傾向にあります。
―― テストはどういう手法で行うのですか。
宮坂:内部ネットワークにあるビル管理システムを攻撃のゴールとし、3 段階くらいのセキュリティ対策が講じられていることを想定し、侵入経路のシナリオを作ります。最初は、外部のネットワークから侵入を試みるのですが、大抵はファイアウォールが 2 つくらい配置されているので侵入できません。
次に、これらファイアウォールの内側からの攻撃、たとえば社外の人でも物理的に入ることが可能な会議室のネットワークに端末を接続し、そこからビル管理システムへ侵入を試みます。そして最後に、一般の従業員が接続できるネットワークから侵入できるかを試みます。
―― そのようなシナリオを用意しているということは、正しい手続きを踏んで応接室などに入室した来客や、一般従業員による攻撃の可能性を想定しているのですね。攻撃者の目的は何なのでしょうか。
宮坂:産業スパイの可能性もありますし、目立つことをして目をそらし、別の大きな攻撃のカムフラージュに使う場合もあります。また、重要なインフラに対してダメージを与えてみたいということが、最近の攻撃者の傾向だと思います。
一大イベントを控えた今、狙われやすい業界
―― 産業制御システムがサイバー攻撃を受けると、具体的にどのようなことが起こるのでしょうか。
宮坂:いずれも海外のものですが、実例をご紹介します。米国ラスベガスのカジノでは、店内のディスプレイとして設置されていた水槽に利用していたスマート水温計から内部ネットワークへ侵入され、重要な顧客リストが奪取されるという事件が発生しました 。
ほかにも、照明システムに侵入して、ビルを巨大なゲーム画面のように見せた事例 もあります。これはデモンストレーションのようなものですが、行っていることは通常のサイバー攻撃と変わりありません。
もっと深刻な事例もあります。2015 年にはウクライナで電力システムが攻撃されて 2 度停電してしまいました。この攻撃の目的は停電させることだったのですが、そもそも外部のネットワークからアクセスすることが可能になっていたわけなので、その気になればシステムを破壊することもできたわけです。国内ではまだ、人命に関わるような事例は起こっていないように思いますが、そのような事件が起こるのも決して遠い話ではないでしょう。
―― 攻撃の手口も変化してきているのでしょうか。
宮坂:従来一般的だったのは、物理的な侵入と IT を使ったハッキングを併せたものでした。例えば、従業員が内部のネットワークに入り込んで踏み台になるものを作り、それを外部から制御するというものです。ところが最近は IT のみ、つまり内通者なしで、ハッキングできる事例が出てきています。さきほど紹介した電力システムの例もそうです。
―― もっと身近な環境では、どのような攻撃が考えられるのでしょうか。
宮坂:これも海外の事例ですが、鉄道会社の OT システムが攻撃されて、駅の改札が制御不能になったことがあります。システムが復旧するまで、鉄道会社は改札を開放せざるを得なくなり、金銭的な被害を受けたものの、列車が通常通り動いたのは不幸中の幸いでした。改札は多くの人が通る場所ですから、パニックや人身事故を起こす事態にもなりかねません。現在、主要駅にはホームドアがついていますよね。あのホームドアは、何回開閉したかというようなデータを取っていたり、劣化を監視するためのセンサーが入っていて、メンテナンスのタイミングを計るために使っているそうです。ということは、そのデータをクラウドにアップロードするところが攻撃されると開かなくなったり、それが原因で電車に乗降できなくなる可能性もあります。日本はここ数年、大きなイベントが目白押しなので、人の流れに関わる交通機関は狙われやすいかもしれません。
ペネトレーションテストの実例
―― 産業制御システムやビル管理システムがサイバー攻撃を受けると、社会の混乱につながることもあり得るのですね。攻撃を防ぐことはできるのでしょうか。
宮坂:今は AI(Artificial Intelligence:人工知能)が進化し、システムが半自動的に動作する場面も増えましたが、重要な局面において、システムが最終的な判断を下すところまでは、至っていません。最大限に効率化することはいいと思うのですが、特に OT の領域では、システムだけで制御する部分と、人の手で最後まで守る部分、その両方が必要だと思います。
―― しかし、人にも心の弱さや操作ミス、判断ミスのような"脆弱性"はありますよね。
宮坂:人の手を介するのは煩わしいと思われがちですが、それによって守られてきた歴史もあります。弊社はインターネットの認証局でもあるわけですが、もっとも機密性が高いエリアには、必ず 2 名で入室する運用にしています。アナログ的だけれども、不正を起こしにくい環境を意図的に作るのです。IT で合理化する一方で、人が介在する部分は少し面倒でも、ミスや悪意が発生しない状況を作る。それくらいのバランスでもいいように思います。
―― 貴社がペネトレーションテストを行って判明した脆弱性について教えてください。
宮坂:ある企業での例になるのですが、一般社員の方がアクセス可能なネットワークからテストしたところ、時間をかけさえすれば、ビルの管理システムへ侵入できる可能性があることがわかりました。次に、一般社員の方が入れない制御室に入って試してみたところ、対象のシステムへの侵入に成功して、照明設備を制御できました。制御室なので、そう簡単に入室することはできないだろうと思われるかもしれませんが、メンテナンス業者なども含めると、入室ルールと実際出入りしている人はかなり違います。
その先のコアになる部分には、センサーから取得したデータをアップロードする設備を制御する機器があったのですが、ディスプレイをつないでみると、ログインした状態でスタートするようになっており、簡単に乗っ取られてしまう状態でした。しかも、そこからの命令には認証が不要なので、シャットダウンを指示すると実行されてしまうのです。アカウント情報やパスワードが無くても十分侵入できてしまうのです。
―― そのテストでは、対策までできたのでしょうか。
宮坂:はい。アクセス制御の不備はすぐに対処できましたし、問題の機器は後日リプレースしました。このテスト自体が先進的なものだったので、問題がたくさん見つかりましたが、この企業では、テストの結果をもとに、ガイドラインを作成するなどの対策も行っているので、実証実験としての役割は十分果たせたと考えています。
攻撃シナリオの先を考えた対策を
―― 近年は「セキュリティ・バイ・デザイン」、すなわち、設計段階からセキュリティを確保するという考え方が一般的になっていますが、産業制御システムやビル管理システムでは、それを実行するのは難しいですね。
宮坂:ビル設備は導入したら、10 年、20 年は変えられないことが多く、ペネトレーションテストで問題になったのは、そのような箇所でした。長年入れ替えないということはセキュリティホールがずっとあり続けるということです。
サイバー攻撃はどんな会社でも工場でも必ず受けるものです。その"攻撃された"というシナリオの先を考えて対策方法を提供するのがわれわれの使命だと思っています。
産業制御システムの世界では、まずゼネコンと設備ベンダーという存在があり、そこに新しくわれわれのような IT の担当が新しい技術を持ち込むわけですが、これらが密に連携することが必要だと思います。弊社もさらに製品やサービスを開発していかねばならないでしょう。具体的なものとしては、堅牢な通信網、認証技術、アナログによる制御など、別の要素で安全を担保するのも対策の 1 つです。ほかにも、リスクアセスメントという手法を使って脆弱性を埋めていく方法もありますし、最近われわれが始めた「CIP(Civil Infrastructure Platform)」という長期サポートのプログラムでは、組み込み OS のサポートも始めており、社会インフラや産業分野のシステムの長期間運用を支えていきます。
―― 攻撃の影響が大きいわりに、このようなサービスの認知度はまだ低い印象があります。今後いっそう求められるようになりそうですね。
宮坂:弊社では実際のペネトレーションテストの内容や結果を公開していますが、機密性の高い情報ですし、業界でもなかなか情報公開されません。とはいえ、弊社のクライアント企業からは、「うちにもやってほしい」と問い合わせをいただくことがあります。
そういった企業はたくさん設備を持っていて調査もされているようですが、社内だけでやるのは難しいだろうと思います。そうした場合には、弊社のようなセキュリティ企業をお使いいただくことも選択肢のひとつではないでしょうか。
※ 本記事の内容は 2019 年 10 月 取材時のものであり、組織名や役職等は取材時点のものを掲載しております。
本記事に関連するリンク
- サイバートラスト 脆弱性診断サービス ウェブサイト
- 竹中工務店様 IoT 脆弱性診断サービス 実施事例
- クラウドソーシング ペネトレーションテスト Synack
- 大日本印刷株式会社のセキュリティコラム一覧