工場などのOT系サイバーセキュリティ

公開日:

更新日:

執筆者:手塚 弘章

OT系セキュリティ
         

目次

OT系とは

オフィスでのPC利用をIT系(Information Technology)と呼ぶのに対し、工場の生産ラインや、オフィス以外で利用されるシステム制御や運用技術を指してOT系(Operation Technology)と呼びます。一般的には、オフィス=IT系、オフィス以外=OT系という区分けです。では、IT系とOT系で何がどう違うのでしょうか?

  • IT系
    オフィスで使われているPCやサーバといったコンピュータが該当します。インターネット、イントラネットに絶えず接続されています。また、システム管理者が存在しアップデート、トラブル対応などをしているケースが多く見られます。
  • OT系
    オフィス以外で使われているPCやサーバです。主に製造現場、発電所・ダム・プラント・鉄道・空港などの社会インフラの制御で使われているコンピュータや、それらの機器に組み込まれているコンピュータです。これらのコンピュータの多くはインターネットに接続されておらず、外部から入り込むことが出来ない環境に置かれています。また、生産技術は生産性向上が主目的であり、セキュリティ性能の維持・向上の為の管理者が存在しないケースが多いです。

IoT(Internet of Things)とは(余談ですが)

IoTとは、冷蔵庫・クーラー、テレビなどの家電、街頭にあるような動画カメラなどの機器に組み込まれたコンピュータでインターネットと接続されているモノを指します。

現在ではIoE(Internet of Everything)やIoA(Internet of Anything)などと呼ばれる、「IoT:あらゆるモノがインターネットにつながって生活を向上させること」、に対して「IoEやIoA:モノだけではなく、ヒトやコト(データ)など、IoTを含めた全てがインターネットにつながることによるインターネット変革」という言葉もあります。

これらは、IT系、OT系とは違う意味合いで使われており、多くはインターネットに接続する機器に組み込まれた新たな機能を持った機器や新たに可能となる事などを指します。

IT系とOT系で使われる環境の違い

利用環境について、IT系とOT系では何が違うのでしょうか?

厳密に言えば、工場といっても「組み立て工場」などの生産と、化学的(単純/化合的に混まぜる、オイルの様に分離させるなど)な「プロセス系を行う工場」に分かれていますが、どちらも生産ラインという意味では違いはありませんので「工場」と呼びます。

以下に工場における利用環境の特徴を述べます。

  • ネットワークへの常時接続が無い、あるいはインターネットに接続されていない
  • (特にプロセス系では)正常に生産するため、計画停止時以外では止められない
  • 生産向けの特殊なアプリケーションとの組合せの為に、OSやライブラリのアップデートが出来ない
  • リアルタイムに処理する必要がある為、CPUやメモリ負荷がかけられない
  • ネットワークプロトコルが利用している機器のメーカによって違う
  • 定期的にメンテナンスのための検査が必要
  • 独自のシステム(標準的なシステムでない)によって構成

など、IT系とは利用環境大きく異なっています。機器やネットワークが独自のプロトコル(手順や規格)によって構成されている点が最大の特徴です

OT系のサイバー脅威

多くのOT系機器はIT系で利用されているような機器ではなく、一般消費者が購入することは基本的には想定されていません。

しかし、最近は機器内部にIT系で利用されているチップなどのデバイスが組み込まれており、また、広く使われているWindowsやLinuxといったOSが使われていることも少なくありません。

オープン化(仕様が公開され、開発者向けソフトなどのアプリケーションも安価で手に入るようになったこと)によって多くの制御系システムであるSCADA(Supervisory Control And Data Acquisition)、HMI(Human Machine Interface)は通常のPCにHMI向けの専用表示機能が付いていたり、自動制御装置であるPLC(Programmable Logic Controller)も通常のPCでラダーではなくPC版PLC用のプログラムが使われたりしています。

理由は簡単で、これらの生産・制御機器を設計、製造するメーカにとってもオープンな環境での開発、オープンなデバイスでの製造の方が、短期間で容易に、かつ安価に製品が製造でき、メンテナンスも楽になります。採用、教育の面でも、開発/製造/メンテナンスを行うエンジニアのレベルも標準化することができます。

このオープン化こそが攻撃者にとってはありがたい事で、特別な技能や知識が無くても攻撃ツールの開発や、IT系の延長線上で攻撃が実行できることになります。

特に最近の様に、業務を停止させてお金を要求するランサムウェアが多様になり裏の世界で安価に手に入る状況では、IT系からOT系に入りこむことが従来よりも簡単になっています。

OT系機器を利用する側からすると、OT系機器はインターネットに接続されていないので攻撃を受けることがないと安心し、防御は不要であると思いがちです。

一方で攻撃者側からすると、OT系機器の持つ、多くがインターネットに接続されていない(クローズドネットワークに接続されている)、外部から侵入することが非常に困難であるといった特徴をふまえ、侵入する方法から検討して実行することになります。

攻撃者はメンテナンス時にエンジニアが使うPCや、製造データを持っていくためのUSBメモリなどに、まずはマルウェアを侵入させます。

次のステップとして、エンジニアがメンテナンスを行う際やデータを搬入する際に、標的とするOT系機器にPCやUSBメモリ経由でマルウェアを仕込みます(攻撃者はいつ攻撃が成立するのか分かりませんので、時間をかけて攻撃を行います)。2010年にイランの核燃料施設の遠心分離機を破壊したStuxnet*1はUSBメモリ経由で侵入したと言われています。

最近世間を騒がせた、米テキサス州のパイプライン会社や国内電機メーカの欧州子会社はサイバー犯罪集団「DarkSide(ダークサイド)」によって攻撃されました。

また、海外の大手食肉加工メーカや日本の建設会社、センサー機器メーカやマサチューセッツ州のフェリー運航会社はサイバー犯罪集団「REvil(レビル)」によって攻撃を受けたとされています*2。上記のようなサイバー犯罪集団は、OT系と言ってもインターネットに接続したIT系(生産計画や監視装置)をランサムウェアで乗っ取ることで、多くの企業を操業停止まで追い込んでいます。

2015年に、ウクライナの発電所を攻撃*3したトロイの木馬「BlackEnergy」はマクロウイルスを使い侵入しました。(マクロウイルスの脅威に関しては以前の「マクロウイルスの脅威」を参照ください)

この様にIT系機器経由であれ、USBメモリ経由であれ、2020年頃よりOT系への攻撃は非常に増加しています*4。

OT系のセキュリティ対策

製造業の多い日本でもIPA*5やJPCERT CC*6が啓蒙や対策・人材育成などの活動を活発に行っています。

当然、OT系向けのセキュリティ製品もマーケットに提供されており、ユーザも多いのではないでしょうか?

OT系では多くがクローズドネットワーク環境ですので、侵入したマルウェアはクローズドネットワークの中で活動を開始します。

従って、活動を開始させない様に、あるいは活動が検知できる対策製品が一般的に使われています。例えば、特定のプログラムしか動作させない「Allow-list(アローリスト)型セキュリティ対策」(過去、ホワイトリスト型と呼ばれていました)や、動作してもネットワークの異常検知をする「ネットワークトラフィックのアノマリ検知」などが該当します。

ただし、マクロウイルスで、PowerShellなどのインタプリタ系で実行されるマルウェアに対してはアローリスト型でも止められないため、完全な対策とは言えません。アノマリ検知も攻撃がゆっくり進行すると異常と判断されず検知できない場合が多いです。

OT系ユーザの悩みと期待

当社もOT系ユーザ様よりお問合せをいただくことがあります。

  • 環境
    ◇ インターネットあるいはネットワークに接続していない環境
    ◇  現在はアンチウイルスしか入れておらず、パターンファイルはメンテナンスの時にしかアップデートできない
    ◇ メンテナンスの時にもインターネットと接続したくない
    ◇ ネットワークのアノマリ検知などでは対策が不十分であり、自社のOT系で利用可能な対策が必要
  • システム負荷
    ◇ CPU負荷、メモリ占有がほとんど発生しないソリューション
    ◇ リアルタイムで動くアプリケーションのため
    ◇ アプリケーションの制約上、古いPC/OSで稼働しているため など様々な理由
  • 既存製品との競合
    ◇ 品質管理などの独自アプリでも問題なく動く
    ◇ 導入したセキュリティ製品と既存アプリが絶対に競合しない
  • 運用
    ◇ 長時間のシステム停止はできないので導入が容易かつ設定が不要で短時間で終わる
    ◇ 誤検知、過検知が発生せず運用の負担が増えない
  • 導入のコストパフォーマンス
    ◇ 生産コストが上昇しないように、導入コストが安く、運用に手間がかからないこと
    ◇ どんな侵入経路でも関係なく、あるいは暗号化されて侵入されても確実に防御できる

など、「環境」「システム負荷」「既存製品との競合」「運用」「導入のコストパフォーマンス」が大きな悩みと期待でした。

OT系システム向けセキュリティ対策の要件

上記のポイントから考えるセキュリティ対策の要件としては、

  •  全く新しい方法で対策を実現
    ◇ 複雑な方法ではなく、シンプルな方法であり小さなプログラムであること
  • 新たな攻撃、新たな手法での攻撃でも防御
    ◇ 既知、未知に関わらず防御可能
    ◇ アップデートが不要
  • システム負荷や運用負荷が軽い事
    ◇ 罠を仕掛け、罠にかかるまでは何も実行しない
    ◇ 他のアプリケーションに影響しない為に、対策自体は別プロセスとして稼働しない
    ◇ アプリケーションプログラムに何もインジェクション(変更を加える)しない
    ◇ 過検知、誤検知が発生しない
  • 暗号化を回避できる
    ◇ 暗号化しエンドポイントに侵入しても、実行コードはメモリ展開時には解凍されるので暗号化の意味がない

と、非常に斬新かつシンプルな方法の対策が求められています。
果たしてこのようなことが可能なのでしょうか? あるいは可能だとして実現できるのでしょうか?

OT系システム向けに最適なセキュリティ対策

当社では、工場に導入実績*7のあるソリューションとしてMorphisecがあります(技術的な説明に関しては以前の「エンドポイント保護のためのMoving Target Defense 技術」を参照ください)。

Morphisecは、上記の「OT系システム向けセキュリティ対策の要件」を全て満たしており、工場で実施された非常に厳格なPOCでも一切問題がなく、本番環境に導入運用されて、実際の工場現場でご利用いただいております。

現在では、工場だけでなく船舶等、非IT環境での利用シーンにおける引き合いを多くいただいており、POCやテストを実施しております。

OT系で利用する際のMorphisecの特徴として、上記の要件を満たしている以外に、

  • エンドポイントに入れるProtector(エージェント)は3MBと小さい
  • 特別な要件が無い限り設定は不要で、導入時間は1分以内
  • ネットワーク非接続時に攻撃を受けたログは各エンドポイントに保持され、管理サーバとの接続時にログがアップロードされる
  • 管理サーバはSIEMとの連携機能あり
  • エンドポイントへの攻撃通知はポップアップされるが、HMIなどでは設定で禁止することも可能(管理サーバには通知されるので、攻撃があったことは確認可能)

サポートしているOSとしては、

  • 現在は、Windows 7以降、Windows 2008R2以降、ubuntu 16系、18系
  • 今後は、RH Linux、ubuntu 20系などのLinux拡張、Container系、Serverless系

にて利用可能です。

脚注(参考文献一覧)

       
  1. 日経クロステック(xTECH)|米パイプライン会社や国内大手企業でランサムウエア被害が相次ぐ理由(参照日:2021-6-16)

    IPA|制御システム関連のサイバーインシデント事例4(参照日:2021-6-16)
  2. 日経クロステック(xTECH)|米パイプライン会社や国内大手企業でランサムウエア被害が相次ぐ理由(参照日:2021-6-16)

    BBCニュース|米FBI、食肉加工最大手へのサイバー攻撃はロシア系ハッカーと(参照日:2021-6-16)

    AFPBB News|身代金要求型サイバー攻撃でフェリー運航に支障、米マサチューセッツ州 写真1枚 国際ニュース(参照日:2021-6-16)
  3. AFPBB News|ウクライナを震撼させた標的型サイバー攻撃(APT)、主犯は「BlackEnergy」1枚 国際ニュース(参照日:2021-6-16)
  4. ZDNet Japan|制御系システムへのサイバー攻撃が20倍に増加--IBM報告書-(参照日:2021-6-16)
  5. IPA|制御システムのセキュリティ(参照日:2021-6-16)
  6. JPCERT|コーディネーションセンター 制御システムセキュリティ(参照日:2021-6-16)
  7. 株式会社インテリジェント ウェイブ|インテリジェントウェイブ、大日本印刷が蕨工場のセキュリティ対策にMorphisec(モルフィセック)を導入(参照日:2021-6-16)