OTのサイバーセキュリティ対策について。
近年、製造業のDX(デジタルトランスフォーメーション)などを急速に進めている企業が目立つようになってきました。
そのうえで同時並行で考えなければならないのは、OTサイバーセキュリティ対策。
近年、サイバー攻撃により自社の工場を停止せざるを得ない状況になってしまうだけでなく、その影響により取引先なども同時に停止せざるを得ないなど影響範囲が広がりつつあります。
産業用制御システムをはじめとする重要インフラを狙ったマルウェアなども発見されており、正しく理解し、対策することが重要です。
最近「日本は人口減少で消滅する」とSNS上で話題になりました。
日本ではこども家庭庁が来年から設置され、地方自治体によるAIを使った婚活支援サービスなどを推進し、若者の結婚を促すそうです。これまでも婚活支援は地方自治体で行ってきているが人口減少に歯止めはかかっていないようです。
人口減少の問題は日本社会に深刻な影響をもたらします。人口が減ってもAIや機械の技術がカバーしてくれるというのは一方的な見方で、そもそも消費者や納税者が減少します。
とはいえ、目先の問題として技術者の高齢化、技術移転が進まないといったところの諸問題をIT技術を利用して解決していくという手段は有効でしょう。
計器類の監視や製品の組み立てなどにAI画像解析の技術が利用されたり、機械設備にセンサーを設置したIoTの技術が利用されたり、装置個別だった産業用機械の制御システムをネットワークで連携させる仕組みを取り入れたりと製造業のDXも進んでいるようです。
ネットワークは閉域網、外部と接続する場合は専用線やVPN網でセキュリティリスクは小さいと言われていますが、制御システムのOSやソフトウェアの更新頻度はメンテナンス時のみといった脆弱性が残されている環境であることは否めません。
そのため、制御システムのメンテナンス時にマルウェアに感染する事例が過去にありました。
また、IoTやAIのクラウドサービスとの接続によるあらたな脅威の侵入経路が開かれている可能性もあります。ICSを他の情報系ネットワークと接続することでもリスクは高まります。
企業の生き残りをかけたDX推進がセキュリティリスクを増加させているという側面にも十分に注意が必要です。
たまにサポートが切れているOSを利用されているお話もお聞きします。
製造ラインに係わる制御システムへのサイバー攻撃は、ライン停止はもちろんのこと設計情報の窃取など産業スパイ的な攻撃もあるそうです。
最近ではEVで有名な企業の工場の従業員を買収してマルウェアを仕込ませようとした事件も起きています。
幸いにして従業員が会社に通報したので、未然に防止されました。
制御用のPLC(※1)やDCS(※2)、監視のためのSCADA(※3)といったシステムが採用されていると思いますが、これらの通信プロトコル(産業用Ethernet)は海外ではPROFINETやEthernet/IP、Modbus TCPなどが主流のようです。
日本ではシリアル通信のCC-LinkやFL-NETが多いと聞いています。
残念なことに海外製品の多いネットワーク監視のセキュリティ製品はこれらの国産プロトコルに対応していない場合が多いようです。
またCC-Linkもオープンネットワークに対応するCC-Link IE TSNなど新しいプロトコルも登場しています。
またシリアル通信からイーサネットを利用したプロトコルも増えており、さらにTCP/IPプロトコルとの統合のためのSLMPなども登場していますので、ネットワーク化が容易になりつつある半面、マルウェアも攻撃しやすくなっていると言えるでしょう。
そのため、情報系ネットワーク同様にネットワーク監視を行うセキュリティ対策システムの導入はセキュリティ対策上必要不可欠と言えます。
また、制御用のエンドポイントには汎用のOSが採用されている場合が多いので、Windows向けに開発されたマルウェアは、前述の通り、セキュリティパッチの適用が遅れる制御用のパソコン、サーバに感染する可能性が高いと思われます。
感染前提のセキュリティ対策が必要でありますが、よく利用されているホワイトリスト型のセキュリティ対策ソフトも例えばアプリケーションレベルではなく、カーネルドライバレベルで動作するマルウェアには全く歯が立ちません。
実際に重要インフラを狙ったカーネルドライバレベルで動作するマルウェアが発見されています。
非常によくできており、マルウェア同士での通信中継機能や外部との通信には通信を乗っ取ってやり取りするため、発見が難しくなっています。
国家レベルの関与が疑われているマルウェアですが、亜種や改良型が登場するのも時間の問題でしょう。
今のところ、セキュリティパッチの適用がほぼ出来ない、ウィルス定義ファイルも更新出来ないといった環境下でのエンドポイントセキュリティ対策は強制アクセス制御型がより良いかもしれません。
※1 PCLとは:Programmable Logic Controllerの略。主に製造業の装置などの制御に使用されるコントローラで、入力機器からの信号を取り込み、プログラムに従って様々な処理が行われ、外部の機器を自動的にコントロールできる制御装置です。
※2 DCSとは:Distributed Control Systemの略。日本語では分散型制御システムと言い、プラント計装工事の一部とされ、ものづくりの現場では常にハードとソフトの制御が入り混じるので複数の制御用コンピュータをネットワークでつないでいるシステムです。
※3 SCADAとは:Supervisory Control And Data Acquisitionの略。大きな施設やインフラを構成する装置・設備から得られる情報を、ネットワークを通して一カ所に集めて管理し、必要に応じて制御するシステムです。
セキュリティ対策を進めていく上で、度々話題に挙がるのが「ダークウェブ」
企業などの脆弱性の情報なども売り買いされているという話や、ランサムウェアをダークウェブ上で公開しているという話も聞く。
ダークウェブとはどういう場所であるのか、イメージを鮮明にし、セキュリティ対策に役立てましょう。
普段インターネット経由で閲覧可能なWebサイト以外にディープウェブ、ダークウェブと呼ばれる隠されたウエブサイトが存在します。
ディープウェブとは大企業や政府に属するもので、医療記録、政府報告書、財務記録など検索エンジンにヒットせず、強力なファイヤーウォールの裏に配置され保護されています。
悪質なのはダークウェブと呼ばれており、プライベートサーバー上で実行されており、特定のアクセス手段でないと通信できないようになっています。
ダークウェブでの取引では違法なモノの売買が行われており、保護すべき野生動物(象牙やサイの角など)が売買されていたり、銃や違法薬物、マルウェアなど売買されているそうです。
とはいえ、IPアドレスを隠すという特徴だけでダークウェブと呼ぶとすると合法的に運用されているサイトも存在しています。
無料でアクセスできる科学論文のサイトやニュースネットワーク、議論の場としてのフォーラムなど。
匿名でアクセスできるため、自由な利用がされています。
ということで、ダークウェブへのアクセス自体は違法ではありません。
ダークウェブへのアクセス手段として有名なのがTor(トーア)ブラウザです。内部告発サイトのウィキリークスでも利用されています。
もともとTorはダークウェブの為に開発されたものではなく、1995年に米国海軍調査研究所によって開発されたOnion Routingと呼ばれる技術を基にしています。
当初の目的は海軍が情報源との通信を秘匿するためと言われており、玉ねぎのように幾十にも層を重ねて暗号化を施し、接続経路を匿名化する仕組みをもっています。
今もオープンソースとして開発が継続されています。
そのため、通信内容の傍受や通信経路が遮断されている地域からの情報発信に利用されています。
例えば、日本でユーザの多いつぶやき系SNSは中国では使えませんが、Torブラウザ経由だとこのSNSが使えます。
iPhoneをお使いならAppストアでOnionブラウザをダウンロードすることが出来ます。
Torでは最低3つのノードを経由して通信を行います。
ノードを通る度に暗号化されていくため、先のノードは元のノードとしか通信できないようになっています。
そのため、もともとの発信元は特定されない仕組みになっています。
ただし、ノードはボランティアサーバーとしてTorに協力していますが、その1割程度は実は情報を窃取することを目的としていると言われています。
Torのノード(リレー)を開設するにはソフトウェアをインストールするだけだそうです。
中国やイラン、ベトナム、ロシアなどの国々が世界最大の放送ニュースサイトを遮断しているため、2019年にはダークウェブ上に世界最大の放送ニュースサイトが開設されています。
実名でやることが多い大手SNSも2014年にTor経由のみでアクセス可能なミラーサイトをダークウェブ上に開設しています。
前述の通りOnionブラウザを使うことでつぶやき系SNSも利用できます。
ただし、セキュリティにはさらに気を付けなければならないでしょう。
Torを使う際にはそれなりのセキュリティ対策が必要です。
トラフィックの暗号化やIPアドレスを隠す仕組みとしてVPNを利用するのがよいでしょう。
ダークウェブへのアクセスに限らず、IPアドレスを晒すような場所、例えば街中のFree Wi-Fiに接続する場合など個人向けのVPNサービスを利用するのが必須です。
またTorブラウザもTorプロジェクトのサイトから最新のものをダウンロードして使いましょう。
Torブラウザ自体に悪意のあるコードを仕込んだモノも存在してるそうなのでご注意ください。
さらにデバイスにセキュリティ対策ソフトウェアをご用意ください。
不安な場合はデバイスのカメラを隠しておくのも冗談ではなく必要でしょう。
ちなみにユーザ登録が必要な場合に普段使用しているメールアドレスを使うのは危険です。
Tor経由でアクセスできるメールサービスがありますので、そこで新しいメールアカウントを発行して使うのがおすすめです。
昨年10月には欧州警察機関が連携し、ダークウェブで違法な売買に携わった150人を逮捕しています。
日本でも春日部の消防士がダークウェブで違法薬物を購入し逮捕されていますが、これは東京税関がオランダからの郵便物から発見したため発覚した事例です。
その他違法サイト摘発を進めるFBIは、摘発したサイトにユーザのIPアドレスを特定するためのハッキングツール(マルウェアですね)を仕込み、アクセスしてきたユーザの身元を特定することに成功しています。
またこの4月1日にサイバー警察局、サイバー特別捜査隊が警察庁に発足しました。
医療機関や企業でのランサムウェア被害に捜査体制を強化するとのことです。
さらに海外の捜査機関とも連携するとのことですので、ダークウェブでの違法行為も減少することでしょう。
軽い気持ちで覗いてみることは説明の通り、様々なリスクの高い行為です。
本コラムおよび弊社はダークウェブへのアクセスは推奨していません。
