サイバー攻撃による事故は、いろいろな産業で起きているがなかなか知られていないのが実情のようである。
弊社(株式会社ICS研究所)は、制御システムセキュリティ対策技術及びマネージメントシステムの人材育成オンデマンドビデオ講座eICSの開発を行っている。そのために、制御システムや制御機器を標的にしたサイバー攻撃手法や事故原因を研究することも重要なテーマとなっている。
そこで、今回は産業別のシステムを標的にしたサイバー攻撃事故事例を取り上げて、サイバーセキュリティとは何かを掘り下げてみようと思う。
サイバー事故事例資料を見ながら以下ご一読いただければ幸いです。
弊社(株式会社ICS研究所)は、制御システムセキュリティ対策技術及びマネージメントシステムの人材育成オンデマンドビデオ講座eICSの開発を行っている。そのために、制御システムや制御機器を標的にしたサイバー攻撃手法や事故原因を研究することも重要なテーマとなっている。
そこで、今回は産業別のシステムを標的にしたサイバー攻撃事故事例を取り上げて、サイバーセキュリティとは何かを掘り下げてみようと思う。
サイバー事故事例資料を見ながら以下ご一読いただければ幸いです。
- 【産業別】サイバー攻撃事故事例資料(株式会社ICS研究所) PDF形式 / 4.8MB 【2020年1月27日更新】
1.重要インフラ
「インターネット接続していないからサイバー攻撃は関係ない」と言っておきながら、GatewayもしくはUSBメモリ経由でデータファイルの授受を行っている現場がある。
また、業者が持ち込んだPCやベンダーから持ち込まれたソフトウェアからマルウェアに感染して、操業停止になった事例もある。
よって、「現場の機器がインターネット接続していないこと」を根拠にしても「現場がサイバー攻撃とは無縁であること」の証明にはならない。
「脆弱性は無い」と言いながら、新規発注仕様書のコンピュータ仕様にWindows XP、Windows7、8などを認めているところがあり、脆弱性に関する認識が間違っているケースも多い。
また、「重要システムは冗長化/多重化しているから大丈夫」と言っている方もいるが、同じ制御コントローラを並べる冗長化/多重化の手法ではサイバー攻撃対策にはなっていない。インターネットにつながっていなくてもモニタ用/チューニング用/メンテナンス用PCやデバイスを接続することでウイルス/マルウェアが侵入してくるリスクはある。では、それらのリスクアセスメントはどうすれば良いのか? 具体的対策とは?
また、業者が持ち込んだPCやベンダーから持ち込まれたソフトウェアからマルウェアに感染して、操業停止になった事例もある。
よって、「現場の機器がインターネット接続していないこと」を根拠にしても「現場がサイバー攻撃とは無縁であること」の証明にはならない。
「脆弱性は無い」と言いながら、新規発注仕様書のコンピュータ仕様にWindows XP、Windows7、8などを認めているところがあり、脆弱性に関する認識が間違っているケースも多い。
また、「重要システムは冗長化/多重化しているから大丈夫」と言っている方もいるが、同じ制御コントローラを並べる冗長化/多重化の手法ではサイバー攻撃対策にはなっていない。インターネットにつながっていなくてもモニタ用/チューニング用/メンテナンス用PCやデバイスを接続することでウイルス/マルウェアが侵入してくるリスクはある。では、それらのリスクアセスメントはどうすれば良いのか? 具体的対策とは?
2.製造業
毎日のようにチョコ停はあるし、毎年「カイゼン」作業で数億円かけている現場がある。
チョコ停の話題に限ると、「うちは5分~10分なら停めて良いから、投資をしないでできる対策が知りたい」と言われる。
短時間回復するために何をどのようにしたら良いか、分からないが故の発言と思われるが、情報セキュリティ対策技術だけでは難しくなっている現実を考慮すると、現場の機器構成から脆弱性情報識別管理、保全交換部品の脆弱性識別管理、セグメント/ゾーン改善、インシデント検知機能を持つ制御製品への交換、インシデント検知/警報システム、緊急時対応マニュアルの整備、定期的な回復作業トレーニングなどの人材育成・・・その他諸々広範囲で奥深いものがある。よって、一切の投資をせずに短時間に回復する製造ラインを実現する方法など存在しない。では、効果的投資とはどのような対策か?
チョコ停の話題に限ると、「うちは5分~10分なら停めて良いから、投資をしないでできる対策が知りたい」と言われる。
短時間回復するために何をどのようにしたら良いか、分からないが故の発言と思われるが、情報セキュリティ対策技術だけでは難しくなっている現実を考慮すると、現場の機器構成から脆弱性情報識別管理、保全交換部品の脆弱性識別管理、セグメント/ゾーン改善、インシデント検知機能を持つ制御製品への交換、インシデント検知/警報システム、緊急時対応マニュアルの整備、定期的な回復作業トレーニングなどの人材育成・・・その他諸々広範囲で奥深いものがある。よって、一切の投資をせずに短時間に回復する製造ラインを実現する方法など存在しない。では、効果的投資とはどのような対策か?
3.航空機
2000年前後にも言われていたことだが、改めて2015年に米国会計検査院から、航空機や船舶などの脆弱性の懸念があるという公示がされた。
そして、2018年8月のBlack hat USA 2018で、航空機に脆弱性があるという公開デモ発表があった。機内にメンテナンス用のUSBメモリインターフェース口があって、「これは使用しないでください。」と書かれている。そこにマルウェアが入ったUSBメモリを挿入するとテロ犯罪になる。
使用されるコンピュータ機器の脆弱性対策は、まず脆弱性を識別して、その攻撃手法を考慮した対策が施されたコンピュータ機器でなければ、Integrity(完全性、整合性、健全性)があるとは言えない。では、それをどう実現するのか?
そして、2018年8月のBlack hat USA 2018で、航空機に脆弱性があるという公開デモ発表があった。機内にメンテナンス用のUSBメモリインターフェース口があって、「これは使用しないでください。」と書かれている。そこにマルウェアが入ったUSBメモリを挿入するとテロ犯罪になる。
使用されるコンピュータ機器の脆弱性対策は、まず脆弱性を識別して、その攻撃手法を考慮した対策が施されたコンピュータ機器でなければ、Integrity(完全性、整合性、健全性)があるとは言えない。では、それをどう実現するのか?
4.船舶
ClassNKでは、2018年より、船舶で使用するコンピュータ製品(制御製品含む)の登録を義務付けした。セキュリティ対策として脆弱性情報を整理する上で、最低限必要な管理体制構築である。登録されていないコンピュータ製品(制御製品含む)は使えなくなる。
船主、コンテナ船、車両専用輸送船、保険会社、海事協会が共同で「Guidelines on Cyber Security Onboard Ships Version 2.0」を発行しており、実践的な指摘事項が多く書かれている。それら一つ一つに対応するには、サイバー攻撃手法解析に基いた制御システム設計仕様や制御製品機能や性能の仕様対策を取り入れる必要がある。それにより、サイバー攻撃に強い制御製品で構築した制御システムを導入できる。では、それをどう実現するのか?
船主、コンテナ船、車両専用輸送船、保険会社、海事協会が共同で「Guidelines on Cyber Security Onboard Ships Version 2.0」を発行しており、実践的な指摘事項が多く書かれている。それら一つ一つに対応するには、サイバー攻撃手法解析に基いた制御システム設計仕様や制御製品機能や性能の仕様対策を取り入れる必要がある。それにより、サイバー攻撃に強い制御製品で構築した制御システムを導入できる。では、それをどう実現するのか?
5.交通機関
ロンドンの鉄道の新規設備購入仕様書の設計条件に、「Windows.NT4サービスパック6又はそれ以上・・・」という条件が今もって入っていたという。
「それで脆弱性が無いと言えるのか? サイバー攻撃の可能性が無いと言えるのか?」もしそれをWindows10のセキュリティセットフル仕様に変更すると、「対応できるソフトウェアがありません。」とサプライヤーが言う。
OSに依存しないソフトウェアソース開発管理体制にするにはどうすれば良いか?
実機製品の開発プロセスはどうすれば良いか?
「それで脆弱性が無いと言えるのか? サイバー攻撃の可能性が無いと言えるのか?」もしそれをWindows10のセキュリティセットフル仕様に変更すると、「対応できるソフトウェアがありません。」とサプライヤーが言う。
OSに依存しないソフトウェアソース開発管理体制にするにはどうすれば良いか?
実機製品の開発プロセスはどうすれば良いか?
6.国を標的にした攻撃
サイバー軍が組織されるのが当たり前になっている。サイバー攻撃で情報収集もすれば破壊工作もする。軍事戦略も変るし、戦術も変る。相手国のサイバー攻撃機能を無能化する攻撃もある。サイバー軍に攻撃されるとあらゆるところで爆発事故や火災事故、破壊事故が起きることは既にその標的になっている国の惨状で知ることができるが、その情報は伝わってこない。
国は深刻な状況であることを認識して対策を急いでいるが、その実感がない為か対策投資を控えてしまう。
国は深刻な状況であることを認識して対策を急いでいるが、その実感がない為か対策投資を控えてしまう。
7.増えるサイバー犯罪集団
サイバー攻撃をビジネスにしている犯罪集団(組織)もある。ブローカーもいれば下請け業者もいる。これらは年々増えている。標的にしたIPアドレスはDOS攻撃で容易に通信不通状況に追い込まれる。さらに、高度なサイバー攻撃を受け負う集団も増えている。
8.共通
リモートサポートシステムにおいて、リモート監視で便利になる訳だが、サイバー攻撃に利用されてしまうこともある。一つのクライアントがウイルスに感染して、適切なセキュリティが施されていなければリモートServer経由で他のクライアントにも感染が拡大するリスクは高い。
脆弱性が無いシステムは現状として存在しないのだから、当然セキュリティ監視システムにも脆弱性を突いた攻撃は仕掛けられる。それらを利用して制御システムをハッキングできるし、マルウェアも侵入できる。攻撃によって制御システムの操作端も操作できるとなると、制御システムを守るための対策が必要となる。
では、それはどのような対策なのか?
安全神話や聖域が存在するならば、平穏な日々の幸運が続いているに過ぎません。運に頼るのではなく、一寸先の安心や安全を積極的に作り上げる積み重ねが肝要です。
脆弱性が無いシステムは現状として存在しないのだから、当然セキュリティ監視システムにも脆弱性を突いた攻撃は仕掛けられる。それらを利用して制御システムをハッキングできるし、マルウェアも侵入できる。攻撃によって制御システムの操作端も操作できるとなると、制御システムを守るための対策が必要となる。
では、それはどのような対策なのか?
安全神話や聖域が存在するならば、平穏な日々の幸運が続いているに過ぎません。運に頼るのではなく、一寸先の安心や安全を積極的に作り上げる積み重ねが肝要です。
9.まとめ
すでに情報セキュリティだけでは太刀打ちできないところまで来ている。
対策技術や管理は、制御システム設計手法や制御機器仕様や保全管理やサプライヤパートナー企業との連携まで変えていかないと対処できなくなっている。
MTTRの短縮は企業経営にとって売り上げや営業利益に直接影響する。
制御システムセキュリティ対策/制御セキュリティ対策/安全セキュリティ対策を積極的に行わない企業の売り上げ計画は予測できないリスクを抱え、株主の企業評価の査定に影響するところまできている。
医薬品業界でもFDAの監査で「制御システムセキュリティ対策は実施していますか?」「どのようなサイバー攻撃対策をしていますか?」と問われて、製造現場の対策ができていないと診られたら、米国への製品出荷停止になった事例もある。
船舶業界で言えば、船主からの注文条件に、船舶及び造船設備のサイバーセキュリティ対策が入っていることで入札に参加することすらできない時代が来ている。
ひとたび組織化するとその維持や繁栄のために労して、時代の流れに気も留めず、結果的に思考停止に陥りやすくなる。その良い意味では、組織の一員として機能することで組織を支える。ところが時代の変革に直面する時にそれが悪い方に出てくる。何もしないで済ませると機を逃して企業の危機・衰退につながっていく。
そうあってはならないと企業を救う維新の志士になれるのも機を逃さないようにありたいものです。
対策技術や管理は、制御システム設計手法や制御機器仕様や保全管理やサプライヤパートナー企業との連携まで変えていかないと対処できなくなっている。
MTTRの短縮は企業経営にとって売り上げや営業利益に直接影響する。
制御システムセキュリティ対策/制御セキュリティ対策/安全セキュリティ対策を積極的に行わない企業の売り上げ計画は予測できないリスクを抱え、株主の企業評価の査定に影響するところまできている。
医薬品業界でもFDAの監査で「制御システムセキュリティ対策は実施していますか?」「どのようなサイバー攻撃対策をしていますか?」と問われて、製造現場の対策ができていないと診られたら、米国への製品出荷停止になった事例もある。
船舶業界で言えば、船主からの注文条件に、船舶及び造船設備のサイバーセキュリティ対策が入っていることで入札に参加することすらできない時代が来ている。
ひとたび組織化するとその維持や繁栄のために労して、時代の流れに気も留めず、結果的に思考停止に陥りやすくなる。その良い意味では、組織の一員として機能することで組織を支える。ところが時代の変革に直面する時にそれが悪い方に出てくる。何もしないで済ませると機を逃して企業の危機・衰退につながっていく。
そうあってはならないと企業を救う維新の志士になれるのも機を逃さないようにありたいものです。
