SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2022レポート

製造業は「もう少し真剣に対策を」とハッカー協会 杉浦氏が警鐘 最悪の事態を免れる“3つの基本対策”

攻撃者に隙を与えている、今すぐ止めたい危険行為とは

 インターネットとは無縁と思われてきた製造業の制御技術(OT)分野もDX推進の波を受けている。制御系ネットワーク内の機器データを情報系ネットワークやインターネット側で分析、活用することが増えた。問題は、インターネット接続にともなうサイバー攻撃を前提として守りを固めてきたITネットワークと比べて、OTネットワークは無防備に近いという点だ。そのような状態でサイバー攻撃を受けた場合、何が起こるのか。安定稼働を維持しながら対策するには、何をすればよいのか。「Security Online Day 2022」の講演「ここが狙われる、日本の製造業がすぐに取り組むべき情報セキュリティ対策」で、日本ハッカー協会の代表理事 杉浦隆幸氏がポイントを語った。

制御系ネットワークもサイバー攻撃の被害に

 製造業によるDXへの取り組みが本格化する中で浮上したのが、制御系(OT)ネットワークのセキュリティ問題だ。安定稼働を重視するOTネットワークでは、安定性を阻害する要素を排除するという名目で、サポートが終了したOSでもあっても使い続け、セキュリティパッチの適用も行わないというのが常態化している。その状態でインターネットやITネットワークと接続すれば、脆弱な箇所を常時探索しているサイバー攻撃者の餌食になる可能性が高い。

 特に昨今注目されるのが、サプライチェーン攻撃だ。杉浦氏は、同攻撃を2種類に分ける。1つは、サプライヤーやサプライヤーの仕入れ先および提携先が攻撃を受けるケース。もう1つは、ソフトウェアの構成コンポーネントや開発ツールなどが汚染されてソフトウェア自体がデータ窃取や攻撃ツールに変えられてしまうケースだ。1つ目については、米石油パイプライン大手Colonialが昨年サイバー攻撃を受けてパイプラインの操業停止に追い込まれるなど、実例が増えている。攻撃を受けた企業の被害にとどまらず、供給網全体に影響が及ぶのがサプライチェーン攻撃の特徴だ。

 もちろん、企業側もこうした課題を認識し、取引先や下請け企業のセキュリティ対策状況を確認するサプライチェーンリスクマネジメント(SCRM)を取り入れているところも少なくない。ただし、杉浦氏はチェックリストにチェックを入れるだけで済ませていることも多いとした上で「やっているというパフォーマンスの側面が強く、実効性は微妙」と一刀両断。「もう少しセキュリティ対策について真剣に考えてほしい」と訴えた。

画像を説明するテキストなくても可
日本ハッカー協会 代表理事 杉浦隆幸氏

 「たとえば、漏えいするのがデータではなく、毒物や劇物と想像してみてほしい」。そう述べた杉浦氏は、事例を2つ紹介した。

 1つは、2021年9月に発覚したフロリダの水処理施設の事例だ。攻撃者は水処理施設に不正アクセスし、PCの1つにインストールされていたリモートデスクトップサービス「TeamViewer」を使ってOTネットワークにアクセス。水酸化ナトリウムの濃度を11,100ppmに設定変更した。幸いなことに担当者が異常に気付き、最悪の事態は回避できた。しかし後に、TeamViewerのパスワードが使い回されていたこと、すべてのPCが既にサポート終了したWindows 7を使っていたこと、PCのファイアウォール機能がオフのままインターネットに接続していたことなどが判明したという。

 2つ目の事例は、イギリスの大手水道事業者だ。ランサムウェアグループ「Cl0p」は同事業者の制御系ネットワークに侵入し、データなどを窃取してファイルの暗号化などでシステムをロックしたのち、身代金を支払わなければデータをネット公開すると脅迫した。しかし同事業者から反応がなかったため、制御画面のキャプチャ含むデータを公開したという事件だ。実は後で攻撃者が脅迫すべき事業者を間違えていたことが判明したのだが、データは既に公開されたため、問題が発覚した。

 杉浦氏は同事例のポイントは、制御画面のスクリーンショットが撮られている点だと述べる。「つまりは、攻撃者が制御系ネットワークに侵入成功しており、バルブやパイプなど各種制御機能を操作できる状態にあったということ。よく見るとソフトウェアキーボードも起動しているので、コマンド実行でさらなる侵害を試みることも可能だ」(杉浦氏)

攻撃グループがシステム侵入時に取得し、SNSに公開した制御用PCのデスクトップ

次のページ
サイバー攻撃で侵入される可能性を軽減するヒント

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2022レポート連載記事一覧

もっと読む

この記事の著者

谷崎 朋子(タニザキ トモコ)

 エンタープライズIT向け雑誌の編集を経てフリーランスに。IT系ニュースサイトを中心に記事を執筆。セキュリティ、DevOpsあたりが最近は多めですが、基本は雑食。テクノロジーを楽しいエクスペリエンスに変えるような話が好きです。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16859 2022/11/01 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング