工場もサイバー攻撃の標的に

トレンドマイクロは3月13日、2019年5月6日より12月31日までの240日間、スタートアップ企業の工場の仕組みを再現したおとりシステムを用いた工場に対するサイバー攻撃の調査結果を公表した。

それによると、「結論として、工場もサイバー攻撃は無関係ではないことが分かった」(トレンドマイクロ グローバルIoTマーケティング室 セキュリティエバンジェリストの石原陽平氏)という。

  • トレンドマイクロ

    説明を行ったのはトレンドマイクロ グローバルIoTマーケティング室 セキュリティエバンジェリストの石原陽平氏。調査結果に関する説明会についてはオンラインで実施された (提供:トレンドマイクロ)

実際の工場に限りなく近いおとりシステム

今回構築されたおとりシステム(ハニーポット)は、米国のスタートアップ企業(ハニーカンパニー)が有する工場という設定で、実際に企業のホームページも開設。工場のシステムとしても、機械と人間の攻撃者両方を欺くことができるように、工場の専門家からのフィードバックを受けて、PLCなども広く普及しているものを実際に導入して稼働させるなど、限りなく実際に近いものを構築したという。

  • トレンドマイクロ

    おとしシステムの概要。実際の工場の環境を限りなく再現して、実在する工場であると攻撃者に思わせるようにしたとのこと (提供:トレンドマイクロ)

  • トレンドマイクロ

    おとりシステムの信ぴょう性を増すために、架空のスタートアップ企業のホームページも開設。紹介されている経営陣の顔写真はAIで合成されて作られたもので、すべて実在しない人物たちだという (提供:トレンドマイクロ)

また、攻撃を受けやすくするための侵入口も、ごくごく自然な設定を再現したものを複数用意。例えば近年は工場の外部からリモート管理を行うケースが増えてきていることを踏まえたポートの開放や、多くの一般的なPLCは初期状態ではパスワードが設定されていないので、そのままにしておく、といったことなどを行ったという。

240日間の調査で攻撃を受けたのは30回

240日間の調査の結果、観測された工場に対するサイバー攻撃の数は30件。内訳としては、「仮想通貨の不正マイニング」が5回、「ランサムウェアへの感染」が2回、「システムがサイバー犯罪に悪用されたケース」が4回(いわゆる踏み台)、「生産システムに影響があった事象」が6回などであるが、実際の工場のデータが何かしらの形で盗まれる「情報窃取活動の確認」は0回であったという。

  • トレンドマイクロ

    調査期間中に観測された主なサイバー攻撃の観測回数。工場の生産データを盗み取ろう、という動きは見えなかったという (提供:トレンドマイクロ)

「攻撃をすべて録画して観察をしたが、攻撃対象をくまなく観察したうえで、次の攻撃につなげるといったことが確認できなかったほか、データの窃取や工場の生産活動を妨害するような動きは見えず、場当たり的な攻撃が見受けられた。30件の攻撃があったにも関わらず、いずれの攻撃者ともに、意図的に工場の環境だから、といって入ってきたわけではなく、侵入しやすかった先がたまたま工場であっただけ、といった結果が考えられる」(同)という見解を同社は語るが、それでも実際に生産システムに影響が6件ほど出たことについて「攻撃者が意図的ではなくとも、工場の稼働には影響を及ぼすことが分かった。例えばランサムウェアは金銭目的の攻撃だが、その行動の中でPLCのロジックファイルなどを暗号化したりするため、結果として工場が止まることとなる」と、攻撃者の想定の範囲外で工場の稼働に影響がでる場合もあるとする。

  • トレンドマイクロ
  • トレンドマイクロ
  • 240日の間に受けたサイバー攻撃のリストと、その中で実際に工場の生産に影響を及ぼした6回の攻撃内容 (提供:トレンドマイクロ)

サイバー攻撃者の主な目的は金銭

実際、同社がランサムウェアを仕掛けた攻撃者にアプローチを試みた結果(ランサムウェアが実行された際に表示される警告画面に記載されているメールアドレスにおとり企業のCISOを装って連絡を実施)、連絡先の相手からは「(自分が実際の攻撃者であり)解読可能かつ、重要なものではないテストファイルを1つだけ送れ」という返答がきたので、もっとも工場としては重要なPLCのロジックファイルを送ったところ、攻撃者であることの証明として解読されたファイルが戻ってきたという。

「もし、攻撃者が工場の仕組みについて熟知していれば、PLCのロジックファイルが重要であることに気づき、解読しないことが考えられるが、今回のケースでは重要であるはずのデータであっても解読して送り返されてきた。つまり、攻撃者は工場にとっての重要データが何であるのかが分かっていないことが示された」(同)。この事例を含め、ほかの行動などからも併せて多くのサイバー攻撃者の主な目的は金銭目当てであることが推察されると石原氏は説明する。

  • トレンドマイクロ

    調査結果の説明を行う石原氏 (提供:トレンドマイクロ)

サイバー攻撃者の目当てを推察した背景

なぜ金銭目的なのか。推察された理由としては以下の4つが大きいという。

  • 直接金銭を要求するランサムウェア
  • マシンリソースを悪用する不正マイニング
  • 他者のアカウントを悪用したサービスの不正購入の試み(実際には失敗)
  • データの窃取は確認されていない

さらに、以下のような理由から、IT環境には詳しいものの、OT環境やそこで扱われているデータについての知識は乏しいという考察もなされている。

  • 「工場にとって重要なデータが何か」を把握していないと推測
  • システムのシャットダウン、インタフェースの操作は複数あったが、場当たり的なものであった
  • 明確なPLCへのサイバー攻撃は確認されなかった

なぜ工場が狙われるのか?

石原氏は、「侵入しやすいIPアドレスを狙うことが多いサイバー攻撃の中で、侵入が成功した場所がたまたま工場であり、そこで金銭目的の攻撃を実施したという話。今回の調査で確認されたものが、ランサムウェア、タスクマネージャーの操作、不正マイニングなどであったが、工場内部の知識に乏しいのて、インタフェースの操作なども確認された。結果として、サイバー攻撃者が意図しないところで、生産ラインが停止したり、復旧作業が必要になるなど、工場の生産性が低下することが示唆された」と、攻撃者が意図しないでも工場の生産性が低下する可能性が示されたとする。

  • トレンドマイクロ

    サイバー攻撃を行う犯罪者の目的の多くが金銭の獲得であり、工場を狙ってというものはあるにはあるが、そう多くはない。しかし、そうした攻撃であっても、工場の生産性に影響が出る場合もあることが見えてきた (トレンドマイクロ)

今回の240日間で30件のサイバー攻撃の頻度について、同氏は「今回のような取り組みが初めてであり、事前にどの程度の攻撃があるか、といった想定はしていなかったが、工場に紐づいたサイバー攻撃、ということを考えれば、必ずしも少ない、とは言い切れない」という見方を示す。

  • トレンドマイクロ

    今回の調査から得られた洞察 (提供:トレンドマイクロ)

工場はサイバー攻撃の標的になりやすい時代が到来

また、今後は工場のスマート化、いわゆるスマートファクトリ化に伴い、サイバーセキュリティリスクは高まっていくであろうと同氏は語る。スマートファクトリでは、自動化に向けたソフトウェアやネットワークの制御が必要になり、ネットワークの接続範囲も必要に応じて工場全体、そして工場外に広がっていくことになる。これは「侵入経路と攻撃対象の増加を意味する」(同)こととなり、「例え攻撃者のモチベーションや目的に変わりがなくても、リスクが高まることになる」(同)とする。

  • トレンドマイクロ

    スマートファクトリにとってサイバーセキュリティリスクは増加する可能性が高い (提供:トレンドマイクロ)

高まる工場へのサイバー攻撃に対応するためには

そうした高まるリスクにどう対応していくか。石原氏は「対応策としては重要なのは責められやすい部分を作らないこと」と語る。また、そのためには工場特有の課題(サポート切れの古いOSやアプリケーションなどが稼働している設備がある、パッチ適用が難しいなど)を理解しつつ、ITを活用できる双方の領域に精通する人材を育成していくことが必要だともした。

  • トレンドマイクロ

    工場を攻めやすい場所にする際の課題例 (提供:トレンドマイクロ)

「IT部門のミッションは情報の活用と保護であり、そのために求められるのがITセキュリティの知識と経験。一方でITが適用される工場のミッションは生産性の維持と向上、そして不良率の低下。そのためには生産管理などの知識や経験をもとにしてセキュリティを構築していくことが重要」だとするが、IT部門とOT部門ではベクトルが必ずしも一致していないため、両方の分野をクロスオーバーできる人材が重要となり、そうした人材の育成を中長期目線でも行っていくことが重要であるとする。

  • トレンドマイクロ
  • トレンドマイクロ
  • スマートファクトリ時代に求められるのはITとOT双方の知識と経験を有するセキュリティ担当者の存在だという (提供:トレンドマイクロ)

なお、今回の調査を踏まえ、トレンドマイクロとしては、「一般的なIT技術をベースとしてIT資産を狙ってくる攻撃を防ぐためには、従来からのITセキュリティの基本に則った取り組みが基本となる。特に金銭目的の場合、企業の事業規模の大小や事業内容は関係なく、アクセスが可能なIPが存在するかどうか、アクセスできるIPがあるということは侵入されるリスクがあるという認知が必要」としており、工場であろうがオフィスであろうが、サイバーセキュリティの基本に違いはないともしている。

  • トレンドマイクロ

    調査結果の説明を行ったトレンドマイクロの石原氏 (提供:トレンドマイクロ)