重要インフラ・産業施設のサイバーセキュリティーの現状は

米パロアルトネットワークスのデル・ロディヤス氏に聞く

 技術が年々高度化し、手口も巧妙化してきているサイバー攻撃。しかも、狙われるのは個人のパソコンやID、企業・官庁などの組織のITシステムとは限りません。発電所や鉄道といった重要インフラや、工場などの産業施設も攻撃の対象に浮上してきています。そこで、サイバーセキュリティー大手、米パロアルトネットワークス(カリフォルニア州)での専門家としてICS/SCADAソリューションリーダーを務めるデル・ロディヤス(Del Rodillas)さんに、重要インフラに対するサイバー攻撃の現状と、そうした脅威から施設を守るための対策について聞きました。

国内でも高い関心


 ■今回の来日の目的は?
 「ICS(産業用制御システム)やSCADA(リモート監視・制御システム)についてサイバーセキュリティーの戦略立案をしている政府関係者との打ち合わせや、民間事業者との意見交換のための会合が中心だ。実は1年半前にも来日しているが、その時と今とでは反応が全く違う。以前は関心のある人を探すのが大変だった。今回はICS、SCADA、それにIoT(モノのインターネット)関連でセキュリティー確保の準備をしようと、多くの関係者が脅威の傾向や米国での対策のベストプラクティス(成功事例)を知りたがっている」

ITとOTの連携が課題に


 ■重要施設のサイバーセキュリティー対策については、米国の方が進んでいるかと思いますが、日本の状況はどう映りますか。
 「日本のユーザーベースを見ると、産業機器のリスクはより目に見えるようになってきている。日本の皆さんにも米国や欧州、中東などでの事件が耳に入っているようだが、強調したいのは世界各国で起こったことは、日本でも起こり得るということ。興味深いことに、日本が先行する分野もある。米国は電力系での対策が水道施設より進んでいるが、日本では逆に水道施設の方が電力より進んでいる」

 「これまでの日本の政策関係者や事業者との会合で要望として出てきているのが、教育やトレーニングをきちんとしてほしいということ。さらに日本ではITとOT(運用制御技術)での分断も顕在化している。ITとOTでどう協力していったらいいのかという質問をよくされる。米国で両者の協力を後押ししているのが法律だ。サイバー攻撃を受けると情報漏洩やランサムウエアでの身代金以上に、電力供給が停止するなど社会的・経済的な影響が非常に大きい。これについてはIT側もOT側も共通の理解を持ち、協力や情報共有がしっかりできている」

複数手法の組み合わせで対処


 ■イランの核燃料施設のSCADAシステムを狙いにした「スタックスネット」や、ウクライナの発電所を停電に追い込んだサイバー攻撃といった事例から、どんな教訓が得られますか。
 「サイバー攻撃の数が増えているだけでなく、内容の高度化が見られる。もともとIT側は高度な攻撃にさらされていたが、ICSの世界でも標的型攻撃(APT)が見られるようになってきた。ICSでもまずメールの添付ファイルを開かせたり、ダウンロードさせたりしてマルウエア(悪意のあるプログラム)を感染させ、システム内で居場所を確保する。次いで、外部の攻撃側と通信をやり取りしたり、内部で情報を収集しICSでのユーザーのアクセス権限を探す。知っておいてほしいのは、ビジネス側とOT側とでシステムを分離していても、忘れられた接続ポイントから侵入されることがある。ウクライナの事例も、ビジネスネットワークでのマクロが添付された電子メールが発端となって、マルウエアがSCADAにアクセスしていった」

 「攻撃にはいくつかの段階があり、段階に応じたマルチメソッドのアプローチで、抑止・防止・マルウエア検出という対策を打っていける。ウクライナで攻撃が起きたのは2015年12月だが、その後の分析で、同年4月にマルウエアが侵入し、数カ月の間、潜伏していたことがわかった。複数の手法を組み合わせることで、検出までの期間を数カ月ではなく数時間や数分に短縮することが可能になる」

マルウエアの亜種が跋扈


 ■ウクライナで使われたマルウエアの亜種が出回っているとの話もありますが。
 「発電所を狙ったマルウエアは『ブラックエナジー3』と呼ばれるが、その前にブラックエナジー1や同2として出回っていた。攻撃者は少しずつ変異させながら同じマルウエアを使ってくる。特徴を少し変えれば、従来のアンチウイルスソフトでは同じものと認識されずにシステムに侵入できる。電力だけでなく、石油・ガス関連でも同じことが起きている。当社の調査では、過去に中東の石油関連のワークステーションに侵入したマルウエアと、ほぼ同じものが最近登場している」

 「12年にサウジアラビアの石油会社であるサウジアラムコの3万台のワークステーションが『シャムーン』というマルウエアで破壊され、16年11月にはほぼ同じ『シャムーン2』が別の産業分野のサイバー攻撃に使われている。こうした亜種も含めて、防御を欺くため、攻撃者はこれまで見たことのないマルウエアを投入してくる。ただ、レガシーのアンチウイルスソフトでは検知できないゼロデイウイルスによるゼロデイアタックでは、高度な対策が必要になるものの、攻撃を止める技術は存在する。そのようなコンセプトが存在するんだという認識をまず広めたい」

重要インフラが狙われる理由


 ■そもそも身代金を要求するランサムウエアなどはお金自体が狙いですが、重要施設をサイバー攻撃する目的は何ですか。
 「例えば、ウクライナの発電所のサイバー攻撃にはある国家が関わっている。重要なサービスをいつでも破壊できることを誇示することで、恐怖感を煽り、自分たちに協力せよというメッセージが込められている。もちろん、実際に重要インフラを破壊することで、社会に重大な影響も与えられる」

 「ランサムウエアでも、個人を狙うのに比べて重要施設への身代金は何百ドルではなく、何万ドルと桁違いに大きい。実際に米国であった電力関連企業への要求額は2万6000ドル、鉄道事業者は7万5000ドルだった。犯人たちは重要インフラをターゲットにすれば、より高額な要求に応じてくれるものと認識している」

マルウエアの拡散が容易な構造


 ■日本の重要施設にマルウエア(悪意のあるプログラム)が仕掛けられる可能性はあるのでしょうか。
 「もちろんある。その理由の一つに、重要インフラの情報ネットワークはフラットな構造をしていて、多くのユーザーが同じデバイスに接続し、マルウエアの拡散が容易なことが挙げられる。さらにサイバーセキュリティーに関してもインフラ関係では相対的な認知度があまり高くなく、職員がマルウエアに感染したメディアをそのまま使ってしまったり、自宅のパソコンを現場に持ち込だりするケースもある」

 ■仮にマルウエアが重要施設にすでに感染して、潜伏しているようなことも考えられますか。
 「可能性はある。すぐに正体を明らかにしないマルウエアや、特徴を変えて潜伏し、サイバー防御を回避するタイプもある。常に通信のトラフィックをモニターして、どのアプリが稼働しているのか、コンピューター同士が通信したり、ファイルが送られているのはなぜなのか、といった事象についてきちんと把握するよう努めるべきだ。いったんシステムに潜入されると、駆除するのに洗練された手段が必要になる」

IoTではプロバイダーとの協力がカギ


 ■IoT(モノのインターネット)関連では、昨年秋に米国で「ミライ」と呼ばれるマルウエアを使った大規模なサイバー攻撃がありましたね。監視カメラなどの組み込みソフトの脆弱性をついてデバイスを乗っ取り、それらを踏み台にしてDDoS(分散型サービス妨害)攻撃を仕掛けたもので、インターネットのインフラ企業のサーバーがダウン。ツイッターやアマゾンはじめ広範囲のウェブサービスに被害が出ました。
 「IoTデバイスは既存のパソコンやモバイル端末と似ているところもあれば、ビデオ監視システムのように違う部分もある。IoTのサイバーセキュリティーでは、IoTデバイスそのものに対する攻撃と、すでに攻撃を受けてマルウエアに感染したIoTデバイスからサーバーにデータを集約する2つの側面を考えなければならない。ただし、現状ではIoTネットワークのトラフィックの可視化は十分なレベルには達していない。理解を深めている段階で、IoTデバイスの脆弱性、攻撃手法の特定に向けて、さまざまな作業が行われている」

 「IoTセキュリティーの世界では、サービスを提供するプロバイダーの役割が大きい。IoTのモノの部分を相互接続するバックボーンを担うのがサービスプロバイダー。バックボーンの部分でセキュリティーをしっかり確保するために、セキュリティー企業とIoTサービスプロバイダーとの協力がより重要になる」

クラウド使い脅威情報を短時間に共有


 ■ITとOT(運用制御技術)の分断という話がありました。OTもIT向けの手法でセキュリティーが確保されるのでしょうか。
 「例えば、当社の次世代ファイアウォールにオプションとして提供している『ワイルドファイア(WildFire)』は、契約ユーザーがグローバルでの新規マルウエアの脅威情報をクラウドを使って15分以内という短い時間内に自動共有し、未知のマルウエアが組織に侵入する前に検出してブロックする。ワイルドファイアについて、多くのユーザーがコーポレートのIT向けにはパブリッククラウドで、OTは自社内にシステムを構築するオンプレミス型のプライベートクラウドと、ハイブリッドで使っている。さらに次世代エンドポイントプロテクションの『トラップス(Traps)』は攻撃者の手法に着目し、トラップ(わな)を仕掛けてそれらを阻止する仕組み。ICS(産業用制御システム)での採用が増えている」

 ■最後に人工知能(AI)の活用については。
 「機械学習は有効と考えている。産業用制御システムのトラフィックの識別にも威力を発揮するだろう。当社はすでに米国で、攻撃の識別を機械学習で行うライトサイバー(LightCyber)を買収しており、今後パロアルトネットワークスの防御機能に統合する予定になっている」

2017年3月13・20日日刊工業新聞電子版
パロアルトネットワークス

藤元 正

藤元 正
03月21日
この記事のファシリテーター

経済や社会に与える被害が大きいことから、重要インフラおよび産業施設のサイバーセキュリティー対応は待ったなしの状況。ロシアや中国、米国などは、サイバー空間を陸・海・空・宇宙に次ぐ「第5の戦闘領域」と位置付けているが、そうした国どうしの攻防だけでなく、悪徳ハッカーによるサイバーテロも非常に気がかりだ。法整備はもちろんのこと、企業も万一に備えて対応を強化する必要がある。

この記事にコメントする

  

ファシリテーター紹介

記者・ファシリテーターへのメッセージ

この記事に関するご意見、ご感想
情報などをお寄せください。