150ヵ国以上で35万件にもおよぶ感染被害をもたらした「WannaCry」。感染すると保存しているファイルを暗号化し、読み込めない状態にする。ファイルを暗号化された端末のデスクトップ画面には、ファイルを復元してほしければ、期限内に身代金を支払うように指示する画面が表示される。
WannaCryはいわゆるランサムウェア(Ransomware、身代金を意味する「Ransom」と「Software」による造語)。パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらを復号化するのと引き替えに身代金を要求する不正プログラムのことをそう呼ぶ。
注目したいのは、WannaCryの被害に遭ったのはパソコンだけでないということ。駅のデジタルサイネージや銀行ATM、小売店鋪の端末や工場の制御端末など、さまざまな機器がWannaCryに感染。SNSなどでは、被害に遭った機器に脅迫メッセージの画面が表示されている様子が投稿されていた。
もっとも、これらの機器は、身代金を支払って暗号を解除するためのインターフェイスを持っていない。WannaCryの目的はあくまでパソコンなどのデータを暗号化して金銭を要求することであり、店舗の端末やATMなどは本来のターゲットではないのだ。つまり、感染が拡大するにしたがって、流れ弾のように被害に遭ったものだと判断できる。
しかし、さまざまな端末がWannaCryに感染した事態は、インターネットに接続された機器は、ネットワークを経由した脅威に晒される可能性があることを如実に表している。
WannaCryは金銭を要求するためのものだったが、もしIoT機器やOT(Operation Technology、制御システム)を停止させることを目的にするならば、WannaCryのようにデバイスや端末にマルウェアを感染させてしまえばよい……と悪意を持った人間が考え、実行に移すことも考えられるだろう。
IoTが普及し、さまざまな端末がインターネットに接続されていけば、管理者が把握していない攻撃の被害に遭うばかりか、そこから感染が広がっていく危険もある。では、我々にできる対策はなんだろうか。今回はMcAfee Blogから、WannaCry騒動で明らかになったIoT/OTに迫る危機についての記事を紹介しよう。
WannaCry騒動で明らかになったIoT/OTに迫る危機
2017年5月12日(GMT)に登場し、日本のみならず世界中に影響を及ぼしたランサムウェア「WannaCry」の一件は、記憶に新しいことでしょう。被害は150カ国以上に広がり、約35万件以上の感染が報告されています。
「『ランサムウェア』自体は昨年から大流行していましたし、脆弱性を突いてネットワークに接続しているだけで感染する『ワーム』もポピュラーなものです。しかし、この2つが結び付いたことで、脅威が顕在化したのではないでしょうか」と、マカフィー株式会社 シニア セキュリティ アドバイザー 佐々木 弘志(セールスエンジニアリング本部 サイバー戦略室)は説明しています。
佐々木はさらに、「WannaCry」の登場は、Internet of Things(IoT)やOperation Technology(OT、制御システム)のセキュリティに一石を投じるものだと指摘します。事実Twitterのタイムラインには、PCの画面だけでなく、駅のデジタルサイネージや銀行ATM、さらには小売店鋪の端末や工場の制御端末など、さまざまな機器がWannaCryに感染し、「Ooops, your files have been encrypted!」という画面が表示されている様子が投稿されていました。
「ただ、WannaCryがIoTやOTシステムを狙ったというわけではなく、これらは『流れ弾』が当たったものと考えるべきだと思います。というのもWannaCryの主な機能は、金銭を要求することです。パソコンのようなIT機器とは異なり、これらIoT/OT機器は、身代金を支払って、暗号を解除するためのインターフェイスを備えていません。お金を払う手段がないのですから、直接IoTやOTシステムを狙ったということではないと考えられます。」(佐々木)
逆に言えば、流れ弾でさえこれだけの被害が生じてしまったわけです。佐々木は「IoTが普及し、さまざまな端末がインターネットに接続されることによって、こうした脅威が現実のものになることが示されました。おそらく、ITシステム管理者が把握していないリモートメンテナンス用のポートが開いているなどして、そこから感染が広がった可能性があります」と佐々木は述べ、この事実を受け止め、脅威のさらなる凶悪化に備えるべきだと警告します。
●より凶悪化して再登場していた「Shamoon」
というのも、それを裏付ける動きも見られるからです。実は、WannaCry騒動の影に隠れてあまり目立たなかったのですが、マカフィーではこの時期、興味深い攻撃についてのレポートを公開しています。それが、サウジアラビアのエネルギー関連会社や官公庁や金融機関をターゲットにした「Shamoon」です。
Shamoonが初めて登場したのは2012年のことでした。サウジアラビアの特定の石油企業を狙い、感染すると重要なデータごとマスターブートレコードを消去してしまい、ITシステムが起動しなくなってしまうというものでした。
この第二弾と見られる攻撃が、2016年11月に発生しました。やはり、感染するとファイルをワイプ(消去)してしまうものですが、ターゲットは、特定企業にとどまらず、エネルギー関連企業や官公庁、金融機関にも広がり、またスピアフィッシング用のメールの文面がこなれたものになるなど、4年前に比べ手口も高度化しています。マカフィーでは解析の結果、一連の攻撃は同じ犯行グループによるものと判断し、注意を呼び掛けています。
「ShamoonがWannaCryと違うのは、金銭目的ではなく破壊を目的にしていることです。この攻撃では、仕掛けた側が儲かるわけではありません。にも関わらず、非常に高度で手の込んだ攻撃を、お金をかけて実行しています。このことから、おそらく何らかの国家主体がスポンサーとなった集団が、政治的な目的をもって、この攻撃を実行していると思われます。」(佐々木)
●IoTやOTシステムの破壊を目的としたマルウェアがワーム的に拡散したら?
その上で佐々木は、ワームとランサムウェアが組み合わさったWannaCryが大きな影響を与えたように、ShamoonとWannaCryのような攻撃が組み合わさり、大きな被害を及ぼす可能性を懸念しています。
「もしIoTやOTシステムを停止させることを目的にするならば、デバイスや端末にマルウェアを感染させて、Shamoonのようにワイプしてしまえばすみます。IoTが普及したり、OTシステムであっても何らかの形でインターネットにつながる機器が増えています。この中で一歩間違いが起こり、ワイプ系の攻撃がワームのように広がる『Next Shamoon』が登場すれば、OTシステムの情報が全て消し去られ、破壊される可能性もあります。IT系ならばPCを取り替えればすむでしょうが、制御システムがいったん停止すれば、バックアップに切り替えるとしても、その間の操業停止等による損失は膨大なものになるでしょう。」(佐々木)
これは決して、遠い国の絵空事と片付けるわけにはいかない問題です。脆弱性やそれを悪用するツールの情報は公表されています。WannaCryですらこれだけの騒ぎになったのですから、Shamoonのような破壊的なマルウェアが脆弱性を突いて自動的に広がったらと考えると、ぞっとするものがあります。
では、私たちにできる対策とは何でしょうか。佐々木は、これまで別々に運用されてきたITとOTの部門が連携し、統合されたガバナンスの基で運用・管理していく必要があると述べています。WannaCryの一件で明らかになったとおり、IT部門が把握していない「裏口」がIoTやOTシステム側に存在する可能性があるからです。「『OTはよろしく』で、ITだけをしっかり管理していればいい時代は終わりました。脅威がそれを追い越してしまっている状況です。」(佐々木)
その上で、IoTやOTシステムにおけるファイアウォールや暗号化といった対策をうんぬんする以前に、機器管理から始めるべきと言います。「CERT機関から何らかの脆弱性が公表されたり、WannaCryのようなマルウェアが登場したときに、自社の管理する機器が感染しているかどうか、あるいはこれから感染する可能性があるかどうかを確認し、経営層に報告するための調査が必要です。特にIoTやOTシステムは、IT部門の機器管理とは別管理になっているケースが多いため、確認作業は毎回大変なものとなるでしょう。」と佐々木は述べ、ITだけでなくOTに関しても、動いているOSのバージョンは何で、パッチは当たっているのかの管理が必要だと指摘しました。
こうした対策を推進するには、何より「人」の連携が欠かせません。IT担当とOT担当の話はなかなか嚙み合わないと言われますが、一方でリスクを認識し、ワーキンググループを作って取り組み始めた企業もあります。ただでさえ人手不足が叫ばれていますが、時にはOT機器のベンダーも交え、ITとOTにまたがるガバナンスとマネジメントを実現することが重要です。
1つだけいいニュースを挙げるとすれば、現時点では、IoTやOTシステムに対する攻撃は初歩的なものが大半を占めていますので、不要な通信ポートのチェックや機器のパスワードの見直しなどの基本的な対策であってもそれなりに効果が期待できます。いつか来るかもしれない本気の攻撃に備え、ぜひ今から準備を整えていただければと思います。
【関連記事】
IoT時代のセキュリティを考える(1) : IoT時代の安心・安全とは?
IoT時代のセキュリティを考える(2) : 安心への取組みと課題
