マルウェアでブラックアウトの衝撃 インフラを狙うサイバー攻撃を体験してみた(後編)潜入ルポ(1/3 ページ)

不正プログラムや悪意を持った人間の行為で制御系システムに問題が起きると、社会がパニックに陥る事態になりかねない。制御系システムのセキュリティ対策を牽引する宮城県の制御システムセキュリティセンターの「CSS-Base6」ではそんなサイバー攻撃の怖さを体験できる。

» 2014年09月24日 07時00分 公開
[國谷武史,ITmedia]

 ビルの設備や工場の生産ライン、発電所の制御といった社会インフラを支える制御系システムの世界で、マルウェアや悪意を持った人間などによるセキュリティリスクが顕在化しつつある。我が国の制御系システムのセキュリティ対策を牽引するのが、宮城県多賀城市にある「技術研究組合 制御システムセキュリティセンター(CSSC)」だ。レポートの後編ではサイバーセキュリティ技術の研究やインシデント体験などを行うテストベッド「CSS-Base6」を紹介する。

9つのシステムをほぼ再現

 CSS-Base6には、制御系システムの特徴的な機能を切り出してデモンストレーションやサイバー演習を実施できる以下の9種類の模擬システムが構築されている。制御系システムの心臓部ともいえる「PLC(Programmable Logic Controller=PCと監視制御ソフトを組み合わせてプロセスの制御監視を実行する)」や「DCS(Distributed Control System=オペレータの業務端末と現場の機器、両者をつなぐネットワークで構成される)」を実装し、参加する組織の実際の機器やソフトウェアによる検証も行える。まさに、制御系システムのセキュリティを向上させていく上で要となる存在だ。

  1. 排水、下水プラント
  2. ビル制御システム
  3. 組み立てプラント
  4. 火力発電所訓練シミュレータ
  5. ガスプラント
  6. 広域制御(スマートシティ)
  7. 化学プラント
  8. 組み立てプラント2
  9. ビル制御システム2

 今回の取材ではビル制御システム、スマートシティ、火力発電所訓練シミュレータによるサイバー演習を実際に体験した。余談になるが、CSS-Base6の名称は「コントロールシステムセキュリティ」と「基地」、施設がみやぎ復興パークの建物の「6階」にあることに由来するという。

制御系システムの心臓部にあたる「DCS(Distributed Control System」

オフィスビルにマルウェア侵入

 ビル制御の模擬システムは、オフィスビルの防災センターなどにあるHMI(ヒューマンマシンインタフェース)と呼ばれる監視端末(Windows)やエアコン模擬装置、電力や空調など制御・管理するサーバ、ネットワーク機器などで構成され、地上24階・地下2階のオフィスビルにおけるシステムをイメージしたもの。実際にCSS-Base6室内の照明も制御できるという。

 サイバー演習のシナリオは模擬システムごとに複数用意されているが、ここでは故障したエアコンのバルブ交換の作業時にマルウェアが侵入し、ビル内の照明や空調の稼働に支障が出るという内容を体験した。

 演習が始まると、まず監視端末にエアコン故障のアラートが表示され、作業に不慣れな若手担当者が現場に向かうことになった。担当者は監視端末で機器のPDFカタログをインターネットからダウンロードし、現場の端末でこれを見ながらバルブを交換する。エアコンが復旧して無事作業が完了したと思いきや、オフィス内の照明が点滅したり消灯したりする事態が発生、空調システムもダウンして館内が蒸し風呂状態になったのだ。

ビル制御システムにマルウェアが侵入する演習。システムの設定が不正に変更されると、室内が突然暗くなり、室温が急上昇した(右)

 ここでのリスクは、若手担当者がPDFカタログをインターネットからダウンロードした際に、このファイルにマルウェアが混入していたことである。マルウェアによってビル管理システムの照明や空調などの設定が書き換えられ、館内で不測の事態が起きてしまう。

 セキュリティの観点では監視端末をインターネットから分離(技術的対策)し、インターネットから業務データなどのダウンロードを禁止する規則(人的対策)を適切に運用するという基本的な2つの対応が求められる。

 記者も取材場所に向かう途中のオフィスビルの防災センターなどで、窓越しにWindowsのデスクトップが表示された監視端末を頻繁に目にする。通常のPCとほぼ同じであり、インターネットやUSBメモリなどを介してマルウェアが侵入するリスクは非常に高いだろう。

 また、ビル管理では常に緊張感を持って業務にあたることが求められるというが、人が業務を担当している以上、業務中に油断が生じる可能性をゼロにはできない。ちょっとした隙間時間に個人のスマホをUSBケーブルでPCにつないで充電、そのスマホの中にマルウェアが混入していると――このようなリスクが実際に起こり得る確率は意外と高いのではないだろうか。

 CSSCの担当者によれば、ビル管理システムがサイバー攻撃を受けるというケースよりは、上述のようなシナリオにある不注意によってマルウェアが侵入してしまうケースの方が頻繁に起こるだろうという。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ