制御システムのセキュリティは“10年遅れ”　急がれる対策の今（1/2 ページ）

原子力施設の制御システムの不正操作を狙ったとされる「Stuxnet攻撃」を契機に、社会インフラを支える制御システムのセキュリティ問題が注目されつつある。国内外の現状とはいかに――。

　2010年夏、コンピュータウイルスによってイランの原子力施設の乗っ取りを企てたとされる「Stuxnet攻撃」が発生した。この事件は、それまで安全だと考えられてきたエネルギー関連施設やプラント施設の制御システムを脅かす初の本格的な脅威として、世界のコンピュータセキュリティ業界を震撼させる出来事となった。

　この制御システムのセキュリティをテーマにしたJPCERT コーディネーションセンター主催の「制御システムカンファレンス 2012」が2月3日、都内で開催された。制御システムを取り巻くセキュリティの問題や対策への取り組みなどの現状について興味深い報告が行われた。

制御システム安全神話の実態

　施設内部のネットワークで運用される制御システムは、インターネットなどに直接つながることがなく、外部ネットワークからの不正プログラムの侵入といったリスクは低いとされてきた。このため、制御システム自体のセキュリティ対策も積極的には行われてこなかったといわれる。制御システムは24時間の安定稼働が絶対であり、付加的な要素のセキュリティ対策は敬遠される向きもあった。

　Stuxnet攻撃は、こうした制御システムにおけるセキュリティの“安全神話”を覆す幾つもの特徴を備えていた。不正プログラムの侵入経路がネットワークではなくUSBメモリなどの人が持ち歩く記録媒体と想定される点や、制御システムのソフトウェアに存在する複数の未知の脆弱性を悪用すること、標的となったイランの原子力施設の制御システムがどのような仕組みであるかを熟知した上での感染・攻撃手法が取られていたこと――などの点だ。制御システムがセキュリティ侵害に直面すれば、社会インフラ全体が混乱に陥るなどの深刻な影響が起こりかねない。

経済産業省 情報セキュリティ政策室の江口純一室長

　カンファレンスの場ではこうした制御システムのセキュリティの現状を経済産業省 商務情報政策局 情報セキュリティ政策室の江口純一氏が紹介した。同氏によれば、世界全体でみると2000年代に入ってから制御システムに関するセキュリティインシデントの発生が増加しているという。

　不正プログラムだけをみても、2003年に流行したSQL Slammerを皮切りに、W32/BlasterワームやZotobワームが制御システムに感染する事態が発生している。経済産業省が2008年に行ったヒアリング調査でも、ウイルス感染で工場のシステムが停止したケースやシステムを管理するためのコンピュータが不正プログラムに感染したという報告が数多くあった。

　また制御システムが外部ネットワークの脅威とは“無縁”とされる点も、実態は大きく異なる。

　2009年の経済産業省調査では国内にある234のシステムのうち、36.8％が外部ネットワークと接続されていた。その中の約55％はリモートメンテナンス回線だが、約43％はインターネットだった。また、プラント設備で使われるOSの88.9％がWindowsであった。外部メディアの取り付け口（保守プログラムなどを外部メディア経由でシステムにインストールなどの作業がある）の普及状況ではUSBが73.1％と最も多く、CD/DVDドライブも51.7％に上った。

注目が高まる制御システムの弱点

JPCERT コーディネーションセンターの宮地利雄理事

　「Stuxnet攻撃によって、サイバー攻撃者は制御システムを簡単に狙えると意識するようになっただろう」――JPCERT コーディネーションセンター 理事の宮地利雄氏は、2011年における制御システムのセキュリティ動向を振り返って、こう指摘した。Stuxnet攻撃を契機に、制御システムが抱える脆弱性に注目するセキュリティ研究者やセキュリティ企業が増加しているという。

　2009年に米国で制御システムのセキュリティ問題に対応する組織「ICS-CERT」が活動を開始し、同組織ではこれまでに100件近いアドバイザリーを発表している。一方、イタリアのセキュリティ研究者は2011年3月から独自に脆弱性情報の公開の始め、その数は既に100件以上となった。またロシアのセキュリティ企業は数十件の脆弱性情報を提供、米国のセキュリティ研究者テリー・マッコークル氏とビリー・リオス氏は、無償ダウンロードが可能な76製品を余暇時間に分析しただけで665件も脆弱性を見つけたと発表している。

　2011年11月には米国イリノイ州で水道設備システムのセキュリティ騒動が発生し、ネバダ州では下水処理場の制御システムにインターネット経由で侵入できると発表したハッカーが話題になった。こうした話題は、制御システムのセキュリティが社会の関心事であることを示すものと宮地氏。

　また英ケンブリッジ大学の調査によれば、インターネットから侵入可能な制御システムは英国だけで3920システムも存在し、日本では59システムに上ることが分かったという。