[{"data":1,"prerenderedAt":34},["ShallowReactive",2],{"journal-detail-66":3},{"main":4,"content":13,"author":30},{"id":5,"level":6,"level_name":7,"title":8,"summary":9,"body":10,"author":11,"created_time":12,"edited_time":12},2021,9,"eICS受講者のみ全文閲覧可","マルウェアの教訓に学ぶセキュアなPLCの開発","攻撃者の視点から導き出す、PLCアーキテクチャの弱点と次世代の設計思想","","oka","2025-07-22 13:56:32",[14,18,22,26],{"id":15,"heading":16,"summary":10,"body":17,"gallery":10},2022,"エグゼクティブサマリー","本レポートでは、PLCや産業用コントローラを標的としたサイバー攻撃の進化を、PLCメーカー自身の製品開発の観点から深く分析し、次世代製品に実装すべき具体的な設計思想を提言します。過去のインシデントは、もはや対岸の火事ではありません。それらは、我々が今まさに開発している製品の未来のリスクを映し出す貴重なケーススタディです。\n\nStuxnetからTriton、そしてPIPEDREAM/IOCONTROLへと至る攻撃の潮流は、PLCの設計思想が常に攻撃者の半歩後ろを歩んできたという厳しい現実を突きつけています。しかし、それは同時に、我々がどこに注力すべきかを明確に示してくれています。\n\nこれからのPLC開発は、過去のインシデントから得られる具体的な教訓を\u003Cstrong>「セキュリティ・バイ・デザイン」\u003C/strong>の原則に昇華させ、攻撃を受けても事業継続を可能にする「サイバーレジリエンス」を顧客に提供できる製品を設計することが不可欠です。\u003Cstrong>IEC 62443\u003C/strong>のような国際規格は、その達成度を測り、網羅性を確保するための有効なフレームワークとして活用すべきです。本レポートが、貴社の製品開発における議論を活性化させ、具体的なアクションに繋がる一助となることを目指します。",{"id":19,"heading":20,"summary":10,"body":21,"gallery":10},2023,"第1部 脅威のランドスケープ：PLCを標的とした主要マルウェアの概要","本編の技術分析に入る前に、PLC開発リーダーが知っておくべき主要なマルウェアの概要と、それが我々メーカーにとって持つ意味を簡潔にまとめます。\n\n\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">マルウェア名\u003C/span>\u003Cspan class=\"cell col2-3\">発見年\u003C/span>\u003Cspan class=\"cell col2-5\">主な標的\u003C/span>\u003Cspan class=\"cell col2-5\">攻撃の目的・影響\u003C/span>\u003Cspan class=\"cell col2-5\">技術的な特徴とPLC開発への示唆\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>Stuxnet\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-3\">2010\u003C/span>\u003Cspan class=\"cell col2-5\">イランの核燃料施設（Siemens製PLC）\u003C/span>\u003Cspan class=\"cell col2-5\">\u003Cstrong>物理的破壊。\u003C/strong>遠心分離機の回転数を不正に操作し、物理的に破壊。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>PLCルートキット。\u003C/strong>USBで侵入し、エンジニアリングPC上のDLLをハイジャックしてPLCの不正ロジックを隠蔽。\u003Cbr>\u003Cstrong>【教訓】 \u003C/strong>PLCに接続するPCのセキュリティが、PLC自身のセキュリティに直結することを示した最初の事例。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>Industroyer\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-3\">2016\u003C/span>\u003Cspan class=\"cell col2-5\">ウクライナの電力網\u003C/span>\u003Cspan class=\"cell col2-5\">\u003Cstrong>大規模停電。\u003C/strong>電力システム用の標準プロトコルを悪用し、配電網の遮断器を遠隔操作。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>プロトコル話者。\u003C/strong>脆弱性ではなく、認証なきプロトコル（IEC-104等）の「仕様」を悪用。\u003Cbr>\u003Cstrong>【教訓】 \u003C/strong>プロトコルスタックの実装において、セキュアでない仕様の悪用リスクを考慮する必要性を提示。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>Triton / TRISIS\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-3\">2017\u003C/span>\u003Cspan class=\"cell col2-5\">サウジアラビアの石油化学プラント（Schneider Electric製SIS）\u003C/span>\u003Cspan class=\"cell col2-5\">\u003Cstrong>安全システムの無効化。\u003C/strong>事故を防ぐ最後の砦である安全計装システム（SIS）を狙い、大災害を引き起こすことを意図。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>ファームウェアへのバックドア。\u003C/strong>独自プロトコルをリバースエンジニアリングし、コントローラのメモリに直接ペイロードを注入。\u003Cbr>\u003Cstrong>【教訓】 \u003C/strong>ファームウェアの完全性を保証するセキュアブートや署名検証の重要性を突きつけた。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>PIPEDREAM / INCONTROLLER\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-3\">2022\u003C/span>\u003Cspan class=\"cell col2-5\">(未展開で発見)\u003C/span>\u003Cspan class=\"cell col2-5\">多様な産業セクターのPLCを標的とした汎用的な攻撃ツールキット。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>モジュール型フレームワーク。\u003C/strong>CODESYSやOPC UAなど、複数ベンダーが利用する共通のランタイムやプロトコルを狙う。\u003Cbr>\u003Cstrong>【教訓】 \u003C/strong>サードパーティ製コンポーネントが深刻なサプライチェーンリスクとなり得ることを証明。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>IOCONTROL\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-3\">2024\u003C/span>\u003Cspan class=\"cell col2-5\">米国・イスラエルの水道施設、燃料管理システム等（Linuxベース機器）\u003C/span>\u003Cspan class=\"cell col2-5\">システムの機能停止、プロパガンダ表示、情報窃取。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>汎用Linuxバックドア。\u003C/strong>特定のPLCプロトコルではなく、広く普及した組み込みLinuxを標的とする。\u003Cbr>\u003Cstrong>【教訓】 \u003C/strong>PLCのOSが汎用化することで、ITの世界の脅威がそのままOTの世界に持ち込まれる現実を示した。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":23,"heading":24,"summary":10,"body":25,"gallery":10},2024,"第2部：攻撃者の視点から暴く、PLCアーキテクチャの「7つの大罪」","過去の主要インシデントを横断的に分析し、攻撃者が共通して悪用したアーキテクチャ上の弱点を「7つの大罪」として再定義します。\n\n\u003Ch4>罪1: 無防備な通信チャネル\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> StuxnetはエンジニアリングPC上のDLLをハイジャックし、PLCとの通信に割り込みました。PIPEDREAMは、CODESYSやOPC UAの正規の通信ポートを通じてPLCを完全に制御しました。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> PLC側が、通信相手であるPCやソフトウェアを無条件に信頼している点です。通信経路の暗号化や、通信相手の認証が行われていないため、「正規のフリをした」攻撃に対して全くの無防備でした。\u003C/li>\u003C/ul>\n\u003Ch4>罪2: 認証なきプロトコル\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> Industroyerは、IEC-104/61850といった電力システム用の標準プロトコルを悪用し、停電を引き起こしました。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> これらのプロトコルは、性善説に基づいていた時代の設計であり、コマンドの送信元を認証する仕組みを持ちません。攻撃者は、単にプロトコル仕様に準拠したコマンドを生成・送信するだけで、PLCに致命的な操作を実行させることができました。\u003C/li>\u003C/ul>\n\u003Ch4>罪3: 改ざん可能なファームウェア\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> Tritonの攻撃者は、Schneider Electric社のSISのファームウェアをリバースエンジニアリングし、メモリに直接バックドアを注入しました。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> PLCの最も根幹であるファームウェア自体に、自己防衛機能が欠けていました。電源投入時にファームウェアの完全性を検証するセキュアブートや、実行中に不正な変更を検知するランタイム整合性監視が存在しなかったため、深層レベルでの改ざんを許してしまいました。\u003C/li>\u003C/ul>\n\u003Ch4>罪4: 脆弱な物理セキュリティへの過信\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> Tritonの攻撃成功の要因の一つに、コントローラの物理キースイッチが「PROGRAM」モードのままだったことがあります。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> 「キースイッチさえRUNモードにしておけば安全」という、物理的な保護への過信です。リモートからキースイッチの状態を監視・警告する仕組みや、たとえPROGRAMモードであっても、重要な操作には追加のデジタル認証を要求するような多層防御の思想が欠けていました。\u003C/li>\u003C/ul>\n\u003Ch4>罪5: 不透明なソフトウェア・サプライチェーン\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> PIPEDREAMは、多くのベンダーが利用するサードパーティ製ランタイム「CODESYS」を標的としました。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> 自社製品に組み込んでいるOS、ライブラリ、ミドルウェアといったサードパーティ製コンポーネントの脆弱性を、メーカー自身が完全に把握・管理できていないという問題です。ソフトウェア部品表（SBOM）の不在は、自社製品が抱えるリスクを不透明にしています。\u003C/li>\u003C/ul>\n\u003Ch4>罪6: 不十分な監査証跡（フォレンジックの困難さ）\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> 多くのインシデントにおいて、攻撃後に「いつ、誰が、何をダウンロードし、何を変更したのか」を正確に追跡することは極めて困難でした。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> PLCが、セキュリティイベントに関する詳細なログを、改ざん不可能な形で記録・保持する能力を持たない点です。これでは、インシデントの原因究明や、被害範囲の特定、再発防止策の策定が著しく妨げられます。\u003C/li>\u003C/ul>\n\u003Ch4>罪7: 汎用OSの脆弱性の継承\u003C/h4>\n\u003Cul>\u003Cli>\u003Cstrong>現象:\u003C/strong> IOCONTROLは、特定のOTプロトコルではなく、組み込みLinuxを搭載した多様なOT/IoTデバイスを標的としました。\u003C/li>\u003Cli>\u003Cstrong>本質的な弱点:\u003C/strong> リアルタイムOSからLinuxのような汎用OSへとPLCの基盤が移行する中で、ITの世界で知られている脆弱性や攻撃手法が、そのままOTの世界に持ち込まれている現実です。汎用OSの利便性と引き換えに、その広大な攻撃対象領域（Attack Surface）を管理する必要に迫られています。\u003C/li>\u003C/ul>",{"id":27,"heading":10,"summary":28,"body":29,"gallery":10},2025,"\u003Ca href=\"./67\" class=\"tx-orange\">【続きは、eICS受講者のみログイン後に閲覧できます】\u003C/a>","\u003Cul>\u003Cli>第3部: 次世代セキュアPLCのための開発戦略\u003C/li>\u003Cli>グループA: 製品本体に組み込むセキュリティ (Product Security)\u003C/li>\u003Cli>グループB: セキュアな開発環境とプロセス (Secure Development Process)\u003C/li>\u003Cli>グループC: 人と組織の体制強化 (People & Organization)\u003C/li>\u003Cli>結論: 今後のPLC\u003C/li>\u003C/ul>",[31],{"id":11,"company":32,"name":10,"profile":33},"株式会社ICS研究所","私たちは、製造業のためのセキュリティ認証と人材育成のスペシャリストです。\nICS研究所は、制御システムセキュリティ対策（IEC62443等）の国際認証取得支援を始めとした人材育成を中心に、企業の事業活性化（DX対応等）を支援します。",1779421343214]