この資料は、過去の重大なサイバー攻撃事案から得た教訓を、産業制御システムの国際標準IEC 62443の要件として整理したものです。
主な防御要件:
- 多層防御と分離:
ゾーン・導管による網分離やIT/OT境界の強化。 - 認証と監視:
多要素認証の徹底、最小権限、Deep Packet Inspectio による通信の異常検知。 - 信頼性の確保:
安全計装システムの独立、セキュリティブート、SBOMによる供給網管理。 - 運用維持:
パッチ管理と迅速な復旧計画。
産業制御システム(ICS)のセキュリティは、凄惨な被害をもたらした実際の攻撃事案を教訓として進化してきました。ご提示いただいた主要な攻撃手法の歴史を辿ると、なぜ現在のIEC 62443で「多層防御」や「ゾーン・コンジット(Zones & Conduits)」の概念が不可欠となったのか、その必然性が見えてきます。
産業制御システム攻撃の歴史と防御指針の変遷
1. 2010年:Stuxnet(スタックスネット)
【攻撃の概要】
イランの核施設を標的とした、世界初の「物理的破壊」を目的としたマルウェアです。インターネットから隔離された「エアギャップ」環境を、USBメモリ等を介して突破しました。
- 特徴:
SCADA内にマルウェアを仕込んで、SCADAからターゲットのPLC(S7)へ制御コードを送って、遠心分離機を異常回転させて物理的に破壊しました。 - 防御の教訓:
「隔離されているから安全」という神話が崩壊。資産管理と外部デバイスの制御、そしてプログラムの変更を検知する整合性監視の重要性が浮き彫りになりました。
2. 2015年:BlackEnergy(ブラックエナジー)
【攻撃の概要】
ウクライナの停電を引き起こした攻撃です。ICSそのものの脆弱性よりも、運用担当者のPCへのフィッシングメールから侵入が始まりました。
- 特徴:
VPNアカウントを奪取して正規の操作としてログインし、手動でブレーカーを遮断。さらに復旧を妨げるためにファームウェアを消去しました。 - 防御の教訓:
制御網への入り口における多要素認証(MFA)の徹底と、IT網とOT網の境界防御の強化が必須となりました。
3. 2016年:Industroyer(インダストロイヤー)
【攻撃の概要】
再びウクライナの変電所を狙った攻撃ですが、BlackEnergyとの違いは「自動化」です。
- 特徴:
産業用プロトコル(IEC 60870-5-101/104など)を直接解釈し、自動で遮断器を操作しました。 - 防御の教訓:
「独自プロトコルだから解析されない」という期待は無意味だと証明されました。プロトコルレベルでのディープパケットインスペクション(DPI)による異常検知の必要性が示されました。
4. 2018年:Shamoon(シャムーン)3.0
【攻撃の概要】
サウジアラビアの石油・ガス企業などを狙ったデータ破壊型マルウェア(ワイパー)の再来です。
- 特徴:
データの暗号化ではなく、MBR(マスターブートレコード)を上書きしてPCを起動不能にし、業務を完全に停止させました。 - 防御の教訓:
ICS環境においても、迅速なバックアップからの復旧計画と、インシデント発生時の初動対応(レジリエンス)の指針が強化されました。
Shamoonの教訓は、現在の産業用PCやPLCにおいて「セキュリティブート対応」や「TPM搭載」がカタログスペック上の重要項目になった大きな理由の一つと言えます。
①2012年:サウジアラムコへの攻撃(最初の発見)
世界最大の石油会社であるサウジアラビアの「サウジアラムコ」が標的となりました。
- 規模:
社内の約35,000台ものコンピュータのデータが消去され、起動不能になりました。 - 特徴:
破壊したデータの上書きに「燃えるアメリカ国旗」の画像が使われました。 - 影響:
業務ネットワークが完全に遮断され、数週間にわたる復旧作業を余儀なくされました。
②2016年〜2017年:Shamoon 2.0
約4年の沈黙を経て、再びサウジアラビアの政府機関や民間企業を狙った攻撃が発生しました。
- 標的:
少なくとも15以上の団体が被害を受けました。 - 特徴:
データの消去後に、トルコの海岸で亡くなったシリア人少年の画像が表示されるよう設定されていました。
③2018年:Shamoon 3.0(最新の大規模事例)
サウジアラビアの石油・ガス関連企業などを狙った第3の波です。
- 特徴:
データの暗号化(身代金要求)ではなく、MBR(マスターブートレコード)を上書きしてPCを物理的に起動不能にすることに特化していました。 - 教訓:
この攻撃は、産業用PCにおける「セキュリティブート」や「TPM(信頼の起点)」の重要性がカタログスペックで強調される大きな要因となりました。
5. 2019年:Triton(トライトン / Trisis)
【攻撃の概要】
サウジアラビアの石油化学プラントで発見された、安全計装システム(SIS)を標的とした極めて危険なマルウェアです。
- 特徴:
本来、異常時にプロセスを安全に停止させるためのSISを無効化、あるいは誤作動させようとしました。最悪の場合、爆発や毒物流出などの人命に関わる事故を狙ったものです。 - 防御の教訓:
制御系の中でも特に重要な「安全機能」を独立させ、SISと基本制御系(BPCS)のネットワークを分離する設計指針が決定定的となりました。
攻撃の進化とIEC 62443への反映
これらの攻撃を経て、防御手法は「単一の壁(境界防御)」から、IEC 62443が提唱する「多層防御」へとシフトしました。
攻撃の教訓IEC 62443における対策指針隔離環境の突破 (Stuxnet)外部媒体の管理と整合性監視(何が入ってくるか) ⇒ゾーン・導管による細分化 (62443-3-3)認証情報の悪用 (BlackEnergy)リモートアクセスの厳格化(誰が入ってくるか) ⇒厳格なアクセス制御とID管理 (Foundational Requirements 1)産業プロトコルの悪用 (Industroyer)通信プロトコルの検知(何が話されているか) ⇒通信の完全性と機密性の確保 (FR 3 & 4)起動プロセスの改竄(Shamoon)ハードウェアと起動の信頼性確保(土台が腐っていないか) ⇒起動プロセスの保護機能 (CR 3.14)BIOS/UEFIやブートローダーが改ざんされていないことの保証(Shamoon)信頼の起点(Root of Trust) ⇒ソフトウェアの整合性と署名 (CR 3.4) ハードウェア(TPMチップなど)を基点として、起動プロセスの正当性をチェーン状に確認する。安全システムの侵害 (Triton)安全機能の物理的・論理的分離(最後の砦を守れるか) ⇒安全機能の独立とシステムのレジリエンス設計
このように、歴史的な攻撃はすべて「ネットワークの可視化」「セグメント分離」「最小権限の原則」という現在の国際標準の柱に繋がっています。
ここまでに挙げた事例は「標的型攻撃(APT)」と呼ばれる、特定の組織を狙い撃ちした高度なものでしたが、IEC 62443が想定している脅威はそれだけではありません。
近年の攻撃トレンドや、規格の要件策定に大きな影響を与えた攻撃手法をさらにいくつか追加して整理します。
IEC 62443の要件を補強したその他の攻撃手法
1. WannaCry / NotPetya (2017年) - ランサムウェアと脆弱性悪用
【攻撃の概要】
Windowsの脆弱性(SMB v1)を悪用して自己増殖するワーム型ランサムウェアです。工場網内のPCが次々と暗号化され、ルノーやホンダ、FedExといった世界中の巨大企業の生産ラインが数日間にわたって停止しました。
- 特徴:
意図的な標的攻撃でなくとも、脆弱なPCが1台ネットワークにあるだけで「横展開(ラテラルムーブメント)」により工場全体が壊滅します。 - 防御の教訓(IEC 62443への反映):
- パッチ管理 :
IEC62443-4-1 Practice7 Security update management(SUM) セキュリティアップデート管理 - ゾーン分離:
IT網で発生した感染が、導管(Conduits)を通じてOT網に流入するのを物理的・論理的に遮断する。
- パッチ管理 :
2. SolarWinds / 3CX (2020年〜) - サプライチェーン攻撃
【攻撃の概要】
信頼されているソフトウェアベンダーのアップデートサーバーを攻撃者が乗っ取り、正規の更新プログラムにマルウェアを混入させる手法です。
- 特徴:
ユーザーが「正しい手順」でアップデートを行っても感染するため、従来の境界防御では防げません。 - 防御の教訓(IEC 62443への反映):
- ソフトウェア供給者の管理 (62443-4-1):
開発プロセス自体のセキュリティ(SDLC)の要求。 - SBOM (Software Bill of Materials):
ソフトウェアに含まれるコンポーネントを可視化し、どこに脆弱性が潜んでいるか即座に特定できるようにする。
- ソフトウェア供給者の管理 (62443-4-1):
3. Oldemar 水道施設攻撃 (2021年) - リモートアクセスと認証の不備
【攻撃の概要】
米国フロリダ州の浄水施設で、攻撃者がTeamViewer(リモートデスクトップソフト)を介して侵入し、水酸化ナトリウムの濃度を通常の100倍以上に設定変更しようとした事件です。
- 特徴:
高度なマルウェアではなく、「パスワードの使い回し」や「多要素認証の欠如」という運用の隙を突いた攻撃です。 - 防御の教訓(IEC 62443への反映):
- 識別と認証 (FR 1):
すべてのユーザー(人間・プロセス・デバイス)の厳格な認証。 - 最小権限の原則:
リモート作業者に必要以上の操作権限を与えない設定の徹底。
- 識別と認証 (FR 1):
4. PipeDream / Incontroller (2022年) - 汎用的なICS攻撃ツールキット
【攻撃の概要】
特定のプラントだけでなく、世界中のPLCや産業用機器に共通するプロトコル(CODESYS、 Modbus等)を攻撃するための「多目的ツールキット」が発見されました。
- 特徴:
ゼロからマルウェアを作る必要がなく、このツールを使えば誰でも高度なICS攻撃が可能になる「攻撃の民主化」を示唆しました。 - 防御の教訓(IEC 62443への反映):
- 資産の要塞化 (Hardening):
不要なサービスやポートの閉鎖。 - 継続的なモニタリング:
プロトコルの異常な振る舞いをリアルタイムで検知する。
- 資産の要塞化 (Hardening):
攻撃手法と防御要件の対応まとめ
これらを加えると、IEC 62443の各要件がどの攻撃を「封じ込める」ためのものかがより鮮明になります。
攻撃手法主な脅威IEC 62443 の主要な対策WannaCry横展開、脆弱性悪用ネットワークセグメンテーション、パッチ管理SolarWindsサプライチェーン汚染開発ライフサイクル(4-1)、SBOM、完全性チェックOldemar認証情報の窃用多要素認証(MFA)、アクセス制限PipeDream汎用プロトコル攻撃資産のハードニング、IDSによる異常検知
このように、IEC 62443は「過去に起きた悲劇」を二度と繰り返さないための、エンジニアたちの知恵の集大成と言えます。
「デバイスそのものの堅牢化(ハードニング)」は、城に例えるなら「個々の兵士に最強の鎧を着せ、城門の鍵を複雑にする」作業です。しかし、どれほど鎧が強固でも、一箇所を突破されればすべてが崩壊するリスクがあります。
そこで不可欠になるのが、IEC 62443の根幹をなす「多層防御(Multi-layered Defense)」とか「深層多層防御(Defense in Depth)」という考え方です。
これをオンデマンドビデオ講座eICSでは、IEC62443が求める深層多層防御の対策を製品コンポーネントやシステム構成アーキテクチャにどのように設計するかの実装解説まで行っております。
多層防御や深層多層防御については、オンデマンドビデオ講座eICSのサイバーレジリエンス講座で解説しています。
