工場もサイバー攻撃の標的に

トレンドマイクロは3月13日、2019年5月6日より12月31日までの240日間、スタートアップ企業の工場の仕組みを再現したおとりシステムを用いた工場に対するサイバー攻撃の調査結果を公表した。

それによると、「結論として、工場もサイバー攻撃は無関係ではないことが分かった」(トレンドマイクロ グローバルIoTマーケティング室 セキュリティエバンジェリストの石原陽平氏)という。

  • トレンドマイクロ

    説明を行ったのはトレンドマイクロ グローバルIoTマーケティング室 セキュリティエバンジェリストの石原陽平氏。調査結果に関する説明会についてはオンラインで実施された (提供:トレンドマイクロ)

実際の工場に限りなく近いおとりシステム

今回構築されたおとりシステム(ハニーポット)は、米国のスタートアップ企業(ハニーカンパニー)が有する工場という設定で、実際に企業のホームページも開設。工場のシステムとしても、機械と人間の攻撃者両方を欺くことができるように、工場の専門家からのフィードバックを受けて、PLCなども広く普及しているものを実際に導入して稼働させるなど、限りなく実際に近いものを構築したという。

  • トレンドマイクロ

    おとしシステムの概要。実際の工場の環境を限りなく再現して、実在する工場であると攻撃者に思わせるようにしたとのこと (提供:トレンドマイクロ)

  • トレンドマイクロ

    おとりシステムの信ぴょう性を増すために、架空のスタートアップ企業のホームページも開設。紹介されている経営陣の顔写真はAIで合成されて作られたもので、すべて実在しない人物たちだという (提供:トレンドマイクロ)

また、攻撃を受けやすくするための侵入口も、ごくごく自然な設定を再現したものを複数用意。例えば近年は工場の外部からリモート管理を行うケースが増えてきていることを踏まえたポートの開放や、多くの一般的なPLCは初期状態ではパスワードが設定されていないので、そのままにしておく、といったことなどを行ったという。

240日間の調査で攻撃を受けたのは30回

240日間の調査の結果、観測された工場に対するサイバー攻撃の数は30件。内訳としては、「仮想通貨の不正マイニング」が5回、「ランサムウェアへの感染」が2回、「システムがサイバー犯罪に悪用されたケース」が4回(いわゆる踏み台)、「生産システムに影響があった事象」が6回などであるが、実際の工場のデータが何かしらの形で盗まれる「情報窃取活動の確認」は0回であったという。

  • トレンドマイクロ

    調査期間中に観測された主なサイバー攻撃の観測回数。工場の生産データを盗み取ろう、という動きは見えなかったという (提供:トレンドマイクロ)

「攻撃をすべて録画して観察をしたが、攻撃対象をくまなく観察したうえで、次の攻撃につなげるといったことが確認できなかったほか、データの窃取や工場の生産活動を妨害するような動きは見えず、場当たり的な攻撃が見受けられた。30件の攻撃があったにも関わらず、いずれの攻撃者ともに、意図的に工場の環境だから、といって入ってきたわけではなく、侵入しやすかった先がたまたま工場であっただけ、といった結果が考えられる」(同)という見解を同社は語るが、それでも実際に生産システムに影響が6件ほど出たことについて「攻撃者が意図的ではなくとも、工場の稼働には影響を及ぼすことが分かった。例えばランサムウェアは金銭目的の攻撃だが、その行動の中でPLCのロジックファイルなどを暗号化したりするため、結果として工場が止まることとなる」と、攻撃者の想定の範囲外で工場の稼働に影響がでる場合もあるとする。

  • トレンドマイクロ
  • トレンドマイクロ
  • 240日の間に受けたサイバー攻撃のリストと、その中で実際に工場の生産に影響を及ぼした6回の攻撃内容 (提供:トレンドマイクロ)