ビル管理室からサイバー攻撃も セキュリティ対策が急がれるインフラシステム

セキュリティ対策はオフィスのコンピュータでは普及しているものの、ビルや工場などの管理システムでは遅れがちだといわれる。対策の手薄なシステムが乗っ取られ、サイバー攻撃の踏み台にされる事態が起き始めているようだ。

[國谷武史，ITmedia]

　サイバー攻撃者がビルや工場などの管理システムを乗っ取り、別のコンピュータに攻撃を仕掛ける目的で踏み台にしている状況が浮かび上がった。従来のセキュリティ対策はオフィス内のコンピュータに重点が置かれ、対策が手薄だったシステムの危険性が高まっている。

　警察庁は11月13日、「23/TCPポート」に対する不審なアクセスが増えているとして注意を呼び掛けた。23/TCPポートはコンピュータを遠隔から操作するための通信に使われている。このため不審な通信は、犯罪目的で乗っ取り可能なコンピュータを探すサイバー攻撃者によるものとみられる。

23/TCPポートに対するアクセスの推移（11月1〜9日：警察庁資料）

　警察庁が不審なアクセスの発信元を調査したところ、国内を発信元とする通信ではネットワークに映像を配信するWeb型カメラやルータなどのネットワーク機器などに交じって、エネルギー管理システム（EMS）が20％を占めることが分かった。国内が発信元のEMSを確認すると、管理画面に電力消費量などの状況が表示されていたという。

国内を発信元とするネットワーク機器の割合（同）

対策が遅れるEMS

　EMSは、オフィスや商業施設、工場や社会インフラ（電力や水道、ガス、交通など）施設など幅広い場所で利用されている。施設内の照明・空調、工場の生産ラインといった機器の制御や、エネルギー使用量などの管理に使われる重要なシステムだ。オフィスや商業施設などでは警備や防災センターに設置されているケースも少なくない。

　企業や組織のオフィスにあるPCや業務システムは、オフィス内のネットワークだけでなく、外部のインターネットにも接続されている場合がほとんどだ。インターネットからは絶えずサイバー攻撃が仕掛けられるため、ウイルス対策ソフトやファイアウォールといったセキュリティ機器による対策が講じられている。

　EMSは施設内の機器の制御や管理を前提にしており、インターネットなどへの接続はあまり考慮されてこなかった。施設内の機器を安定して制御したり、管理したりするために専用のコンピュータや機器、内部ネットワークで構築され、10年以上など長期間に渡って使われる。専用のシステムとして閉じられた環境でのみ使用する場合、サイバー攻撃などのリスクを心配する必要性は低いと考えられてきた。

　しかし、近年のEMSはメーカー間の競争が激しくなっているとされ、メーカーは管理端末に市販のPCを採用して価格を下げたり、インターネット経由で施設の外からでも遠隔操作で効率的に運用できる機能を搭載したりするようになった。

　上述のように、EMSではサイバー攻撃に対する備えがこれまであまり重視されておらず、オフィスのPCや業務システムに比べると、対策技術が追い付いていないという。専門家によれば、EMSのように特定用途のシステムに、一般的なPCや業務システム向けのセキュリティ製品を導入してしまうと、施設内の機器を安定して制御したり、管理したりできなくなる恐れがあるからだ。

EMSなどの制御システムの現状（情報処理推進機構の資料より）

　セキュリティ対策が不十分なままEMSをインターネットに接続したり、汎用的なPCを利用してしまうと、外部からサイバー攻撃を受けて被害が発生しやすくなるのは言うまでもない。だが警察庁の注意喚起からは、サイバー攻撃を受けて実際に攻撃者に乗っ取られてしまったEMSが多数存在している状況がうかがえる。

インフラセキュリティの普及が急務に

　国内ではEMSの危険性が徐々に注目されつつあるが、海外では既に様々な被害が発生している。2010年にイランで発生した「Stuxnet」事件は、何者か高度なマルウェアを使って原子力関連施設のシステムをダウンさせることを狙ったとされる。実際にシステムダウンに至らなかったものの、万一施設が破壊されるといった被害が起きれば、イラン国内や周辺諸国に放射能汚染などのような極めて甚大な被害を及ぶ恐れがあった。

　欧米でも社会インフラ施設や軍事・航空といった工場のシステムを標的にするサイバー攻撃が繰り返し発生している。直近でも米国のセキュリティ機関ICS-CERTが10月31日、産業向け制御システム（ICS）を狙う高度なマルウェアが出回っていると注意を呼び掛けたばかりだ。

　このような現状に、国内ではEMSを含む制御システム向けセキュリティ技術への取り組みが進む。2011年に経済産業省などを中心とした「制御システムセキュリティ検討タスクフォース」が発足。翌2012年には「技術研究組合 制御システムセキュリティセンター（CSSC）」が設立された。

制御システムセキュリティセンターにはビルや工場、発電所などの制御・管理システムが再現され、サイバー攻撃対策が研究されている

　CSSCには、20以上の制御システムメーカーやユーザー企業、大学機関やセキュリティ会社・機関などが参加する。宮城県多賀城市にあるCSSCの施設では各社のシステムや製品を利用したセキュリティ技術の研究開発や検証が進められ、制御システム開発者や運用担当者向けのサイバーセキュリティ演習も行われている。

　今後は制御システムのセキュリティ強化が期待されるものの、一度構築されたシステムは長期間使用されることから、普及ペースは未知数だ。社会インフラのシステムで万一被害が起きれば、突然の停電や断水、ガスの供給停止などにつながりかねず、国民の生命が脅かされる事態も想定される。

　11月12日には「サイバーセキュリティ基本法」が施行され、国を挙げたセキュリティ強化への取り組みがようやく本格化した。政府は、2020年の東京五輪までにサイバー空間におけるセキュリティの確保を目標として掲げて。社会を支えるシステムのセキュリティ対策が今まで以上に急がれるだろう。