サイト内の現在位置

サイバー攻撃事件から学ぶ産業機械のセキュリティ対策

サイバー攻撃のイメージ画像

産業機械のIoT化が進むにつれサイバー攻撃を受ける危険性が高まっています。プラントや工場、自動車などIoT領域でのサイバー攻撃による被害事例について、手口だけでなく攻撃者の目的まで掘り下げて考察します。そのうえで産業機械のセキュリティ対策をご紹介します。

IoT領域に広がるサイバー攻撃

ハッカーと呼ばれるサイバー攻撃者の攻撃対象は、これまでは公共団体や企業などのITシステムが中心でした。モノのインターネットと呼ばれるIoTが当たり前となりつつある今、ハッカーはITシステムのようには対策が進んでいないプラントや工場、自動車などIoT領域の施設や機械に狙いをつけています。実際に起きた被害事例について記載し、犯人の目的を考察します。

イランの核施設での制御システム乗っ取り

プラントのイメージ写真

2010年、イランの核施設プラント内にある遠心分離機を制御するシステムがサイバー攻撃され、多くの遠心分離機が被害を受けました。手口は、制御システムのPLCラダープログラムを改ざんするというものでした。施設の制御システムは、ITネットワークから完全分離されていたのですが、USBメモリーの接続など何らかの経路で攻撃用のソフトウェアであるマルウェアが混入したようです。犯人は明らかにされていませんが、イランの国家政策である核開発を妨害して遅延させることを目的とした国家レベルの組織的犯行ではないかと言われています。

この事件を機に、ITに対してOTOperational Technology)と呼ばれる制御システムにおける対策の必要性が注意喚起されるようになりました。

米国でのインターネット基盤サービス会社への集中攻撃

サーバールームのイメージ写真

2016年には米国のインターネット基盤サービス会社ダインに対して、多数のIoT機器を乗っ取ってDDoSDistributed Denial of Service attack、分散サービス拒否攻撃)と呼ばれる大規模な集中攻撃が行われました。その結果、ダイン社のインターネット基盤サービスが6時間以上停止し、ダイン社のサービスを利用しているスポティファイ、ツイッター、ネットフリックスなど大手ウェブサービスが停止しました。

乗っ取られたのはホームルーター、ネットワークカメラなどのIoT機器であり、その数は何千万との数に上りました。犯人は分かっていません。目的は諸説あります。ダイン社の技術者によるDDoS対策の発表があった後に起きたため、ダイン社への報復措置ではないかとの説もありますが、真相は明らかになっていません。

重要な点は、産業機械のIoT化が進めば、産業機械が踏み台にされて犯人側の攻撃に加担することがありうるということです。

国内自動車メーカーへの攻撃による世界9工場の一時停止

自動車工場のイメージ

20206月には、国内大手自動車メーカーへのサイバー攻撃により世界の9工場が操業停止に追い込まれるという事件が発生しました。犯行手口は、工場の制御システムへの攻撃ではなく、ITシステムをマルウェアによって不能にさせるというものでした。メーカーは原因を究明するため社内ネットワークを制限しました。このため、ITシステムを用いている工場でも生産を一時停止せざるを得ませんでした。工場によってはシステム復旧まで3日間生産を停止したところもありました。

メーカーの意向により詳細は明らかにされていませんが、このメーカーは過去にも2度サイバー攻撃の被害を受けています。20206月の事件に用いられたマルウェアは、対象大手自動車メーカーのサイト内でしか動作しないように仕組まれていました。愉快犯的な行動ではなく何らかの明白な意図を持った犯行と考えられます。

この事例から知名度の高いメーカーは犯人の標的にされやすいと言えるでしょう。産業機械メーカーの工場が狙われることはないとは言い切れません。

事件事例からの考察まとめ

ここまで特徴的な事件事例3件を取り上げました。これらをまとめると次のことが言えるのではないかと思います。

  • 制御システムや産業機械もサイバー攻撃の標的にされうる時代となった
  • IoT化により自社の産業機械製品がサイバー攻撃の犯行に加担しうる
  • 産業機械ユーザーや産業機械メーカーの工場が狙われる可能性がある
  • 興味本位の犯行から明白な意図を持った犯行へ変化している

上述の米国ダイン社の事例では不特定多数のIoT機器が踏み台にされましたが、特定の工場のIoT産業機械が踏み台にされ、別の攻撃対象を狙うというケースもあり得ます。この場合、工場経営者や産業機械メーカーが被害者から損害賠償を請求される可能性も考慮しなければなりません。また、3件の事件事例のほかにも、特定のメーカーの産業機械が標的とされる事例も出てきています。

そして、制御系への攻撃に対しては、情報漏えいへの対策による機密性の確保に加えて、産業機械や制御システムの安定稼働を保つこと、つまり、制御の可用性の確保が特に重要です。

IoT機器や制御システムへのセキュリティ対策

日本政府や業界団体の動向

IoT機器やIoTシステムがサイバー攻撃の脅威にさらされている中、総務省と経済産業省は20167月に「IoTセキュリティガイドライン ver 1.0」を策定しました。IoTセキュリティガイドラインでは、IoT機器の開発からIoTサービス提供まで、方針、分析、設計、構築・接続、運用・保守の5つのフェーズに分けて取るべき対策の指針をまとめています。

また、冒頭で紹介したイランの制御システム破壊事件があったこともあり、国際自動制御学会(ISA)と国際電気標準会議(IEC)では、産業用制御システムの推奨セキュリティ対策を規定する技術仕様書群IEC-62443シリーズの開発が進められています。20192月にはコンポーネント・デバイスを対象としたIEC-62443-4が発行されました。このことは、産業機械や関連装置単体への要求が高まっていることを示しています。

 

新型コロナウイルス対策で生じる新たなリスク

2019年末に発生した新型コロナウイルスにより、生活様式や働き方の変革をいやおうなしに迫られています。産業機械では自動化やリモート対応が求められています(詳しくは「産業機械のスマート化に新型コロナウイルスが与えた影響とは」をご覧ください)。必然的にネットワークを用いることになるため、犯罪者からすれば侵入する余地が増えることになります。世界は新型コロナウイルス対応で混乱していますが、ハッカーは混乱で生じる隙を虎視眈々と狙っています。産業機械のスマート化は、セキュリティ対策と同時に進める必要があるのです。

NECのサイバーセキュリティ支援サービス

事件事例で見た通り、近年は明白な意図を持った組織的な犯行が増えており、手口もますます巧妙になっています。ITシステムだけ、OTシステムだけを守ればよいわけでもありません。そこでNECでは、ITシステム構築でのセキュリティ対策の経験や知見に基づき、IoT/OT機器、IoT/OTシステムからITシステム、そして組織や人まで含めた総合的なセキュリティ対策を講じるためのサイバーセキュリティ支援サービスを提供しています。

NECのサイバーセキュリティ支援サービスの体系図

IoTセキュリティガイドラインやOT関連セキュリティ標準(IEC62443他)を始めとしたガイド・標準の最新版に基づいたリスクアセスメントの実施やセキュリティ要件定義の支援など、企画段階の上流工程からお客さまをご支援します。設計から実運用のフェーズでは、各種の製品・サービスをご用意しており、お客さまに最適なセキュリティ対策をご提案します。

関連リンク

お問い合わせ