工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ) | ScanNetSecurity
2020.04.06(月)

工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)

トレンドマイクロは、「工場向けサイバー攻撃おとり調査解説オンラインセミナー~240日におよぶ調査から見えた工場セキュリティの現実解~」を開催した。

研修・セミナー・カンファレンス セミナー・イベント
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ) 全 6 枚 拡大写真
トレンドマイクロ株式会社は3月13日、「工場向けサイバー攻撃おとり調査解説オンラインセミナー~240日におよぶ調査から見えた工場セキュリティの現実解~」を開催した。この調査は、工場が受けるサイバー攻撃の発生頻度とその影響度の実態を測ることを目的に実施されたもの。同社グローバルIoTマーケティング室のセキュリティエバンジェリストである石原陽平氏が解説を行った。

●リアルな工場システムを再現

同社では、調査のために工場の「おとりシステム」(ハニーポット)を設置、2019年5月6日から12月31日までの240日間、サイバー攻撃の観測を行った。工場のおとりシステムは、米国に所在するシステムとして設置し、機械と人の両方を欺くよう工夫された。HMI(Human Machine Interface:システム制御用インタフェース)やEWS(Engineering Workstation:PLC用プログラム開発・書き込み機器)、ロボティックワークステーションなどは仮想環境に置かれたが、複数台のPLC(Programmable Logic Controller:工場機械の制御機器)は物理環境に設置された。

また、実際の工場環境に起こりがちな設定状況を再現するために、PLCのいくつかはインターネットに露出させ、しかもパスワードが設定されていない初期設定のまま設置、リモート管理のために外部からのアクセスを許可した。さらに、実在する会社に見せかけるために、試作品の製造・コンサルティングに特化したスタートアップ企業と設定し、ホームページも公開した。従業員のプロフィールページも用意しているが、従業員の写真はAIで生成したものだという。

●サイバー攻撃の頻度は「8日に1回」

240日間の調査期間中に観測したサイバー攻撃は30剣であった。内訳は、仮想通貨の不正マイニング6回、ランサムウェアへの感染2回、システムがサイバー犯罪に悪用されたケース(踏み台)4回、などであった、情報窃取活動は一度も確認されなかった。ホワイトハッカーによる侵入および「侵入可能になっている」という警告もあったという。

工場のシステムを狙ったサイバー攻撃は確認されなかったが、それでも工場の生産システムに影響があった事象は6回あった。その原因は、システムのシャットダウン、Crysisランサムウェア、Phobosランサムウェアが各1回、HMIによる工場操作が3回となっている。このように、たとえ工場の稼働停止を意図したサイバー攻撃でなくても、工場が停止するリスクがあると石原氏は言う。

ランサムウェア感染の事例では、サイバー犯罪者はVNC経由でシステムに侵入した。内部を偵察した後に共有サーバのファイルを物色、リモート操作用ソフトをインストールしてランサムウェア本体を含むファイルをダウンロードした。そしてサイバー犯罪者はタスクマネージャーを開き、ランサムウェアを動作させるリソースを確保するためか、いくつかのサービスを停止させ、ランサムウェアを実行。ファイルサーバのデータを暗号化した。

その後、サイバー犯罪者から身代金を要求するメールが届き、トレンドマイクロのスタッフはCISOを装ってサイバー犯罪者とやり取りを開始。サイバー犯罪者は、「暗号化されたファイルの復号が可能であることを証明するから、重要ではないファイルをひとつだけ送れ」とメッセージを送ってきたので、あえて工場のシステムでもっとも重要なPLCロジックファイルを送ったところ、復号されたファイルが送り返されてきた。このことから、サイバー犯罪者は工場のシステムに詳しくないことが推察されるとした。

●工場を狙った攻撃でなくても生産性に影響が発生

今回の調査結果から、石原氏はサイバー犯罪者の特徴を挙げた。まず、ランサムウェア感染やマイニングを行ったこと、システムを踏み台にサービスの不正購入を行おうとしたことなどから、目的は金銭であると考えられる。また、「工場にとって重要なデータが何か」を把握していなかったこと、システムのシャットダウンやHMIの操作などが場当たり的であったことなどから、IT環境には詳しいものの、OT環境やそこで扱われるデータについての知識が乏しいとした。

工場のシステムを狙う攻撃は一般的に、PLCなどで使用されている特有のプロトコルを使用し、直接的あるいは水平移動などで間接的に不正アクセスを行う。また、HMIなどの機器の操作を行う画面上で、不正な操作を行う。今回の調査では、こうした操作は確認されたが、計画的と考えられるものはなかったという。しかし、そもそも「工場もサイバー攻撃を受ける」ことは明らかになったと石原氏は言う。その攻撃のほとんどは工場を狙ったものではないが、それでも工場の生産性に影響を及ぼすことも確認されたとした。

サイバー犯罪者は、より少ない労力で金銭を得るために、侵入しやすいIPアドレスを探して攻撃を仕掛けてくる。そのIPアドレスが工場のものであっても攻撃を実施し、これにより生産ラインの停止や稼働率の低下、復旧対応などにより生産性に影響が発生する。さらに今後、工場がスマートファクトリー化することで、親友経路や攻撃対象が増加しリスクが増加することが考えられる。

工場のセキュリティ対策には、セキュリティソフトを導入できない機器があることや、稼働を停めることは難しいこと、サポート切れのOSが継続使用されている可能性があること、タイムリーなパッチ適用が難しいことなどの条件がある。そこで石原氏は、「OTの条件を前提としたセキュリティ対策が必要」「『ITの知見』と『OTの条件』を融合して考えられる、両領域に精通する人材の育成」が重要であるとした。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

    オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

  2. 全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

    全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

  3. 最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出

    最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出PR

  4. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  5. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  6. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  7. メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

    メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

  8. iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

    iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

  9. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  10. 新型コロナウイルス感染症による入学式中止メールを誤送信、805名のアドレスが流出(創価大学)

    新型コロナウイルス感染症による入学式中止メールを誤送信、805名のアドレスが流出(創価大学)

ランキングをもっと見る