これまでハッカーはウィンドウズなどソフトウェアの欠陥(脆弱性)を見つけて、そこから攻撃を仕掛けてきたが、「最近ではプロのハッカーでも1カ月かけて、やっと1つ見つけられるぐらい」(セキュリティソフト大手マカフィー)脆弱性が次第に見つかりにくくなっている。また攻められる側のユーザーもソフトウェアの更新を頻繁に行うことで、脆弱性を放置せず、アンチウイルスソフトを導入して対策を取ってきている。
そこで狙われるようになったのが、セキュリティ対策がほとんど取られてこなかった制御システムだ。これまで制御システムはインターネットなど外部ネットワークに接続されていないため、サイバー攻撃を受けることはないと思われてきた。だが、実際はすでにプログラムされた制御内容を変更したり、操作履歴を取り出したりするときに、外部から持ち込まれたUSBメモリやパソコンを制御装置に接続して、ウイルスに感染することがある。
誰でもライフラインを止められる
(出所)VEC資料を基にウェッジ作成 現場担当者や自らに上記の項目に心当たりが無いか確認してほしい。正常に動作していたものに異変が生じた場合には制御システムへのサイバー攻撃を疑う必要がある
拡大画像表示
気付かずに制御システムをインターネットに接続しているケースもある。ウェブサイトだけでなく、インターネットに接続されたあらゆるコンピューターを探すことができる「SHODAN」という検索サイトがある。このサイトを使うと、キーワードさえ分かれば外部から接続可能な制御機器を見つけられる。しかも機器で使用されているソフトウェア名やバージョンまで分かるため、あるソフトウェアで脆弱性が見つかれば、簡単にピンポイントでサイバー攻撃可能な制御システムを見つけ出せる。
試しに検索してみると、日本国内にも少なくとも数十台はインターネットにつながっていることが分かった。なかにはIDとパスワードさえ分かれば貯水池のバルブを遠隔操作できる状態のものもあった。制御システムのIDやパスワードが初期設定のままのケースも少なくない。
サイバー攻撃に対して丸腰のままの制御システム。欧米の研究者や米DHSは、セキュリティ対策を取るよう促すため、ウェブサイト上で製品ごとの脆弱性を公表している。しかしこれは諸刃の剣でもある。ハッカーにしてみれば、いちいち脆弱性を見つける手間が省ける。ロシアのベンチャー企業は、制御システムの脆弱性を見つけて攻撃までしてくれるソフトウェアを数千ドルで販売している。ここまでくると、ハッカーでなくてもパソコンさえあれば誰でも簡単に電気や水道を止めることができてしまう。
以上の記事は、WEDGE10月号第2特集の一部に加筆したものです。
特集 『水も工場も止まる 新型サイバー攻撃』
◎狙われる制御システム 製造業が危ない
◎自動車工場で50分間操業停止の損害額11億円
◎対策に乗り出した三菱化学、横河電機
■「WEDGE Infinity」のメルマガを受け取る(=isMedia会員登録)
「最新記事」や「編集部のおすすめ記事」等、旬な情報をお届けいたします。
