実機でサイバー攻撃を実演、小型プラントから白煙が上がる
サイバー攻撃の脅威を肌で感じられるよう、ワークショップでは同大学教授、越島一郎氏の研究室が実機の小型プラントで幾つかの攻撃デモを行った。
産業制御システムにおけるセキュリティ対策などを研究する越島研究室によるデモ
温水循環システムを使ったデモでは、攻撃者が脆弱性を突いてネットワークに侵入し、マルウェアに感染させたネットワーク内の端末を乗っ取ってシステム制御関連のPCを探し出し、温水ヒーターに異常を発生させた。ただし、制御系システムを管理するOPC(制御/計装機器をつなぐインターフェイス標準規格)サーバーの設定値は攻撃者によってあらかじめ書き換えられており、管理画面を見ているだけでは異常に気づかない状態だった。
デモを担当した学生は、制御用PCをあっという間に探し出せた理由について「新規システムを導入する際には、まず試用版で検証を行う。そのとき、試用版で使っているファイル名などをそのままに導入してしまうことが多い。こうした設定情報はネットに出回っているので、ネットワークに侵入さえできれば制御系PCは簡単に見つかる」と説明した。
ヒーターの空焚きで白い煙が上がるものの、攻撃者の細工によって管理画面には異常が示されない
攻撃されていることだけでなく、プラントに異常が発生していることにすら気づけないことも問題だ。名古屋工業大学教授の越島一郎氏は、「デモでは目の前に計器があるのですぐに異常が分かるが、現実のプラントと制御室とは数百メートル離れている。今回のデモのように、管理画面で異常を隠蔽されてしまったら終わりだ」と語る。「そもそも、従来の産業制御システムは悪意ある攻撃を想定しておらず、1つのディスプレイですべての情報を確認できるような画面設計になっていないものが多い。(見落としなどが発生して)対処が後手に回る可能性も高い」(越島氏)。
名古屋工業大学教授、越島一郎氏
重要インフラへのサイバー攻撃、基本対策と「プラスα」で対抗
重要インフラに対するサイバー攻撃への対策の基本は、一般企業と共通である。つまり「攻撃を受けることを前提とし、人間と自動監視システムとを組み合わせながら攻撃の兆候を早期発見、対処する仕組みを構築する」ことだ。
「たとえば、サイバー攻撃を受けたらネットワークの一部を切り離し、最低限の機能を残すといった動的な情報セキュリティマネジメントも考えたい」。BCM(事業継続マネジメント)の観点を取り入れたサイバー攻撃対策は、特に産業制御システムにおいて重要だと渡辺氏は述べる。
先述した攻撃デモでは、自動監視システムのデモも披露された。デモに使われたのは、制御システムのログを収集、相関分析して早期に異常を検知し、原因特定する「McAfee SIEM」(インテルセキュリティ)、SIEMと連携して感染端末の攻撃をブロックする「セキュリティスイッチ TiFRONT」(日本ダイレックス)、ワークフローに基づきマルウェア検知後の通信遮断や対処指示、端末対処、二次感染対策などを自動実行する「Systemwalker Security Control」(富士通)の3製品だ。
そのほか、同時に陥落(ダウン)しては困るシステムを異なるゾーンに分離し、ゾーン間の通信をファイアウォールで制御、異常を検知して通知するIDS/IDPなども紹介された。
インテルセキュリティ「McAfee SIEM」
富士通「Systemwalker Security Control」
日本ダイレックス「セキュリティスイッチ TiFRONT」
もう1つ、越島研究室が提案したのが「低対話型ハニーポット」だ。これは、意図的に脆弱性を残したシステムに攻撃者をおびき寄せる高対話型ハニーポットではなく、特定のOSやアプリケーションをエミュレートし、監視するというものだ。
「平常時は通信が発生しないハニーポットで通信があったら監視を開始し、異常と判断したらハニーポットの構成を動的に変更、攻撃者の情報収集時間を引き伸ばして混乱させる。他のセキュリティツールと組み合わせることで、より高度な対策も実現できる」(同研究室の学生)。
低対話型ハニーポット(Rasberry Piベース)の実装例
(→次ページ、対話型ワークショップ、組織横断的なCSIRTの重要性を実感)
