工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと（トレンドマイクロ）

トレンドマイクロ株式会社は3月13日、「工場向けサイバー攻撃おとり調査解説オンラインセミナー～240日におよぶ調査から見えた工場セキュリティの現実解～」を開催した。この調査は、工場が受けるサイバー攻撃の発生頻度とその影響度の実態を測ることを目的に実施されたもの。同社グローバルIoTマーケティング室のセキュリティエバンジェリストである石原陽平氏が解説を行った。

●リアルな工場システムを再現

同社では、調査のために工場の「おとりシステム」（ハニーポット）を設置、2019年5月6日から12月31日までの240日間、サイバー攻撃の観測を行った。工場のおとりシステムは、米国に所在するシステムとして設置し、機械と人の両方を欺くよう工夫された。HMI（Human Machine Interface：システム制御用インタフェース）やEWS（Engineering Workstation：PLC用プログラム開発・書き込み機器）、ロボティックワークステーションなどは仮想環境に置かれたが、複数台のPLC（Programmable Logic Controller：工場機械の制御機器）は物理環境に設置された。

また、実際の工場環境に起こりがちな設定状況を再現するために、PLCのいくつかはインターネットに露出させ、しかもパスワードが設定されていない初期設定のまま設置、リモート管理のために外部からのアクセスを許可した。さらに、実在する会社に見せかけるために、試作品の製造・コンサルティングに特化したスタートアップ企業と設定し、ホームページも公開した。従業員のプロフィールページも用意しているが、従業員の写真はAIで生成したものだという。

●サイバー攻撃の頻度は「8日に1回」

240日間の調査期間中に観測したサイバー攻撃は30剣であった。内訳は、仮想通貨の不正マイニング6回、ランサムウェアへの感染2回、システムがサイバー犯罪に悪用されたケース（踏み台）4回、などであった、情報窃取活動は一度も確認されなかった。ホワイトハッカーによる侵入および「侵入可能になっている」という警告もあったという。

工場のシステムを狙ったサイバー攻撃は確認されなかったが、それでも工場の生産システムに影響があった事象は6回あった。その原因は、システムのシャットダウン、Crysisランサムウェア、Phobosランサムウェアが各1回、HMIによる工場操作が3回となっている。このように、たとえ工場の稼働停止を意図したサイバー攻撃でなくても、工場が停止するリスクがあると石原氏は言う。

ランサムウェア感染の事例では、サイバー犯罪者はVNC経由でシステムに侵入した。内部を偵察した後に共有サーバのファイルを物色、リモート操作用ソフトをインストールしてランサムウェア本体を含むファイルをダウンロードした。そしてサイバー犯罪者はタスクマネージャーを開き、ランサムウェアを動作させるリソースを確保するためか、いくつかのサービスを停止させ、ランサムウェアを実行。ファイルサーバのデータを暗号化した。

その後、サイバー犯罪者から身代金を要求するメールが届き、トレンドマイクロのスタッフはCISOを装ってサイバー犯罪者とやり取りを開始。サイバー犯罪者は、「暗号化されたファイルの復号が可能であることを証明するから、重要ではないファイルをひとつだけ送れ」とメッセージを送ってきたので、あえて工場のシステムでもっとも重要なPLCロジックファイルを送ったところ、復号されたファイルが送り返されてきた。このことから、サイバー犯罪者は工場のシステムに詳しくないことが推察されるとした。

●工場を狙った攻撃でなくても生産性に影響が発生

今回の調査結果から、石原氏はサイバー犯罪者の特徴を挙げた。まず、ランサムウェア感染やマイニングを行ったこと、システムを踏み台にサービスの不正購入を行おうとしたことなどから、目的は金銭であると考えられる。また、「工場にとって重要なデータが何か」を把握していなかったこと、システムのシャットダウンやHMIの操作などが場当たり的であったことなどから、IT環境には詳しいものの、OT環境やそこで扱われるデータについての知識が乏しいとした。

工場のシステムを狙う攻撃は一般的に、PLCなどで使用されている特有のプロトコルを使用し、直接的あるいは水平移動などで間接的に不正アクセスを行う。また、HMIなどの機器の操作を行う画面上で、不正な操作を行う。今回の調査では、こうした操作は確認されたが、計画的と考えられるものはなかったという。しかし、そもそも「工場もサイバー攻撃を受ける」ことは明らかになったと石原氏は言う。その攻撃のほとんどは工場を狙ったものではないが、それでも工場の生産性に影響を及ぼすことも確認されたとした。

サイバー犯罪者は、より少ない労力で金銭を得るために、侵入しやすいIPアドレスを探して攻撃を仕掛けてくる。そのIPアドレスが工場のものであっても攻撃を実施し、これにより生産ラインの停止や稼働率の低下、復旧対応などにより生産性に影響が発生する。さらに今後、工場がスマートファクトリー化することで、親友経路や攻撃対象が増加しリスクが増加することが考えられる。

工場のセキュリティ対策には、セキュリティソフトを導入できない機器があることや、稼働を停めることは難しいこと、サポート切れのOSが継続使用されている可能性があること、タイムリーなパッチ適用が難しいことなどの条件がある。そこで石原氏は、「OTの条件を前提としたセキュリティ対策が必要」「『ITの知見』と『OTの条件』を融合して考えられる、両領域に精通する人材の育成」が重要であるとした。