架空の工場を作り、攻撃されるか試してみた

　トレンドマイクロは、240日間に渡って実施した「工場向けサイバー攻撃おとり調査」の内容について発表した。

　 工場におけるサイバー攻撃の発生頻度と影響度の実態を測ることを目的としたもので、「この結果をもとに、工場に対して、どれぐらいのセキュリティ投資をすればいいか、最適なセキュリティ対策はなにか、工場セキュリティにはどんな人材が必要かといったことが理解できると考えた」（トレンドマイクロ グローバルIoTマーケティング室 セキュリティエバンジェリストの石原陽平氏）とする。

　 工場試作品の製造およびコンサルティングに特化した、米国に拠点を置くスタートアップ企業という設定で、そのなかに実際の工場環境を模したおとりシステム（ハニーポット）を構築。ワークステーションやPLC（Programmable Logic Controller）を設置し、架空の会社のホームページや、架空の人物による従業員プロフィールを公開するなど、「人とスキャナーなどのツールに見破られない仕組みを用意した。外部のセキュリティ会社から、この会社はセキュリティに問題があると指摘されるほどの精度だった」という。

　 調査期間は、2019年5月6日～12月31日までの240日間。この間、サイバー攻撃を観測し、すべての攻撃内容を録画したという。

結果は、8日に1度の攻撃を受ける……というもの

　 おとりシステムでは、リモート管理のために外部からのアクセスを許可している状況や、市場に出回っているPLCの多くが初期設定の段階でパスワードが設定されておらず、そのまま利用されている状況など、「工場環境に起こりがちな設定状況」（トレンドマイクロの石原氏）を再現した。

　 これによると、240日間で30件のサイバー攻撃を観測。「8日に1回の頻度でサイバー攻撃を受けた。少ないとは言いきれない」という。そのうち、生産システムに影響があった事象が6回、仮想通貨の不正マイニングが5回、システムがサイバー犯罪に悪用されたケースが4回、ランサムウェアへの感染が2回。一方で、情報窃取活動は確認されなかったという。また、ホワイトハッカーによる侵入、警告もあったという。

　 トレンドマイクロの石原氏は、「工場もサイバー攻撃を受けること、工場に着弾する攻撃の多くは、意図して工場を狙ったものではない可能性が高いこと、そして、意図して工場を狙ったサイバー攻撃でなくても、工場の稼働や生産性に影響を及ぼすことがわかった」とする。

目的はストレートにお金

　 産業制御システムや工場機器を狙った攻撃は観測されなかったものの、システムシャットダウンや、ランサムウェア、HMI（Human Machine Interface）による工場操作が見られている。

　 たとえば、2019年9月に観測されたランサムウェアによる攻撃では、おとりシステムに侵入し、内部を偵察後、共有サーバーのファイルを物色。リモート操作用ソフトのTeamViewerをインストールし、ランサムウェア本体を含むファイルをダウンロード。タスクマネージャーを開き、稼働中のサービスをいくつか停止して、ランサムウェアのためのリソースを確保。その後、ランサムウェアを実行して、ファイルサーバー内のデータを暗号化したという。

　 こののちトレンドマイクロのリサーチャーが、架空の会社のCISOの役割を演じて、ランサムウェアの攻撃者とメールでのやりとりを行った。

　攻撃者からは、解読できることを証明するために、「テストファイルを一つだけ送れ。ただし重要でないものだ」というメッセージが送られてきたのに対して、最も重要なPLCを制御するためのロジックファイルを送ったところ、解読されたファイルが戻ってきたという。

　 「最も重要なファイルを送信しても、攻撃者は工場にとって、それが大切なデータであることを理解していなかった。最も重要なデータを送って解読してもらえば、被害がなくなるにも関わらず、それを解読して送り返したことからもそれはわかる。IT環境には詳しいが、OT（Operational Technology）環境や扱われるデータについての知識には乏しいこと、システムのシャットダウン、インターフェースの操作は複数あったが、 場当たり的なものであったこと、明確なPLCへのサイバー攻撃は確認されなかったこと、OT特有のプロトコルを狙ったものもなかったという結果が出た。侵入しやすいIPアドレスを探していたところ、それが偶然、工場だったともいえる。工場が攻めやすい場所になっていることを証明したといえる」とし総括。

　また、「サイバー犯罪者の目的は金銭であり、直接金銭を要求するランサムウェアやマシンリソースを悪用する不正マイニング、他者のアカウントを悪用したサービスの不正購入の試みなどが見られたが、データの窃取は確認されなかった」とした。

制御機器にはセキュリティソフトが入れにくい面も

　 今回の調査結果から、同社では、「工場のスマート化によって、侵入経路の増加、侵入対象の増加につながり、サイバーセキュリティリスクが増すことが想定される。工場を『攻めやすい場所』にしないことが大切である」とし、「OTでは、セキュリティソフトを導入できない機器があったり、頻繁には止められない環境であったり、あるいはサポート切れのOSを継続的に利用していたり、タイムリーなパッチ適用が困難な場合もある。従来のサイバーセキュリティ対策を導入および運用がしにくい側面があるため、OTの条件を前提としたセキュリティ対策が必要である」とした。

　 また、「ITの知見と、OTの条件を融合させることがあり、両領域に精通する人材の育成が必要である。IT分野におけるサイバー攻撃の特徴を把握した人材が、自社OT環境の条件を勘案し、セキュリティ計画をリードしていくことが望ましい。それぞれの領域から少しはみ出した知見を持ったスペシャリストが必要である」とした。

　「OTの条件に適合したセキュリティ方法論を検討することが、工場に求められるセキュリティ対策である。セキュリティソフトを導入できない機器への保護をどのように行うか、頻繁には止められない稼働を維持しつつ、どのタイミングでセキュリティ対策を行うか。ライフサイクルの長いシステムをソフトウェアのサポート切れのリスクからどう守るか、タイムリーなパッチ適用が困難な機器に対する脆弱性の対策をどのように行うかといったことを考えていく必要がある」と述べた。

　 トレンドマイクロでは、スマートファクトリー向けセキュリティソリューションを提供。脅威情報の提供やセキュリティコンテストの開催などを通じて人材育成にも貢献できるとしている。