サイバー攻撃者の主な目的は金銭
実際、同社がランサムウェアを仕掛けた攻撃者にアプローチを試みた結果(ランサムウェアが実行された際に表示される警告画面に記載されているメールアドレスにおとり企業のCISOを装って連絡を実施)、連絡先の相手からは「(自分が実際の攻撃者であり)解読可能かつ、重要なものではないテストファイルを1つだけ送れ」という返答がきたので、もっとも工場としては重要なPLCのロジックファイルを送ったところ、攻撃者であることの証明として解読されたファイルが戻ってきたという。
「もし、攻撃者が工場の仕組みについて熟知していれば、PLCのロジックファイルが重要であることに気づき、解読しないことが考えられるが、今回のケースでは重要であるはずのデータであっても解読して送り返されてきた。つまり、攻撃者は工場にとっての重要データが何であるのかが分かっていないことが示された」(同)。この事例を含め、ほかの行動などからも併せて多くのサイバー攻撃者の主な目的は金銭目当てであることが推察されると石原氏は説明する。
サイバー攻撃者の目当てを推察した背景
なぜ金銭目的なのか。推察された理由としては以下の4つが大きいという。
- 直接金銭を要求するランサムウェア
- マシンリソースを悪用する不正マイニング
- 他者のアカウントを悪用したサービスの不正購入の試み(実際には失敗)
- データの窃取は確認されていない
さらに、以下のような理由から、IT環境には詳しいものの、OT環境やそこで扱われているデータについての知識は乏しいという考察もなされている。
- 「工場にとって重要なデータが何か」を把握していないと推測
- システムのシャットダウン、インタフェースの操作は複数あったが、場当たり的なものであった
- 明確なPLCへのサイバー攻撃は確認されなかった
なぜ工場が狙われるのか?
石原氏は、「侵入しやすいIPアドレスを狙うことが多いサイバー攻撃の中で、侵入が成功した場所がたまたま工場であり、そこで金銭目的の攻撃を実施したという話。今回の調査で確認されたものが、ランサムウェア、タスクマネージャーの操作、不正マイニングなどであったが、工場内部の知識に乏しいのて、インタフェースの操作なども確認された。結果として、サイバー攻撃者が意図しないところで、生産ラインが停止したり、復旧作業が必要になるなど、工場の生産性が低下することが示唆された」と、攻撃者が意図しないでも工場の生産性が低下する可能性が示されたとする。
今回の240日間で30件のサイバー攻撃の頻度について、同氏は「今回のような取り組みが初めてであり、事前にどの程度の攻撃があるか、といった想定はしていなかったが、工場に紐づいたサイバー攻撃、ということを考えれば、必ずしも少ない、とは言い切れない」という見方を示す。
工場はサイバー攻撃の標的になりやすい時代が到来
また、今後は工場のスマート化、いわゆるスマートファクトリ化に伴い、サイバーセキュリティリスクは高まっていくであろうと同氏は語る。スマートファクトリでは、自動化に向けたソフトウェアやネットワークの制御が必要になり、ネットワークの接続範囲も必要に応じて工場全体、そして工場外に広がっていくことになる。これは「侵入経路と攻撃対象の増加を意味する」(同)こととなり、「例え攻撃者のモチベーションや目的に変わりがなくても、リスクが高まることになる」(同)とする。
高まる工場へのサイバー攻撃に対応するためには
そうした高まるリスクにどう対応していくか。石原氏は「対応策としては重要なのは責められやすい部分を作らないこと」と語る。また、そのためには工場特有の課題(サポート切れの古いOSやアプリケーションなどが稼働している設備がある、パッチ適用が難しいなど)を理解しつつ、ITを活用できる双方の領域に精通する人材を育成していくことが必要だともした。
「IT部門のミッションは情報の活用と保護であり、そのために求められるのがITセキュリティの知識と経験。一方でITが適用される工場のミッションは生産性の維持と向上、そして不良率の低下。そのためには生産管理などの知識や経験をもとにしてセキュリティを構築していくことが重要」だとするが、IT部門とOT部門ではベクトルが必ずしも一致していないため、両方の分野をクロスオーバーできる人材が重要となり、そうした人材の育成を中長期目線でも行っていくことが重要であるとする。
なお、今回の調査を踏まえ、トレンドマイクロとしては、「一般的なIT技術をベースとしてIT資産を狙ってくる攻撃を防ぐためには、従来からのITセキュリティの基本に則った取り組みが基本となる。特に金銭目的の場合、企業の事業規模の大小や事業内容は関係なく、アクセスが可能なIPが存在するかどうか、アクセスできるIPがあるということは侵入されるリスクがあるという認知が必要」としており、工場であろうがオフィスであろうが、サイバーセキュリティの基本に違いはないともしている。