サイバー攻撃おとり調査(前編)~工場環境を模倣したシステムの構築~
本コラムでは、今年の1月21日にトレンドマイクロが公開した当該リサーチの内容をもとに、工場が受けているサイバー攻撃の「量」と「質」について考察していきます。前編となる今回では、本リサーチの目的と、トレンドマイクロが構築した工場おとりシステム(ファクトリーハニーポット)の特徴についての詳細をお伝えいたします。
トレンドマイクロは2019年5月6日から12月31日にかけて、工場環境を精巧に再現したおとり調査システム(ハニーポット)を利用し、工場が受けるサイバー攻撃を記録、分析しました。本コラムでは、今年の1月21日にトレンドマイクロが公開した当該リサーチの内容をもとに、工場が受けているサイバー攻撃の「量」と「質」について考察していきます。
前編となる今回では、本リサーチの目的と、トレンドマイクロが構築した工場おとりシステム(ファクトリーハニーポット)の特徴についての詳細をお伝えいたします。
目的:工場が受けるサイバー攻撃の「頻度」と「影響度」を測る『実際のところ工場は、どれくらい頻繁に、どのような攻撃を受けているのか?』
自社工場を保有する企業にとって、これは非常に重要な問いです。なぜなら、工場が受けるサイバー攻撃の種類とその頻度がわかるようになれば、どのようなセキュリティ対策を施すべきか、どれくらいセキュリティ対策に投資をするべきかの判断の助けになるからです。トレンドマイクロは、この問いに答えるために工場おとりシステム(ファクトリーハニーポット)を利用した調査を行いました。
工場へのサイバー攻撃の例としてよく引き合いに出されるのが、Stuxnetなどのマルウェアの事例です。このようなマルウェアは工場特有の環境を狙って作られているという点で特殊と言えます。しかしながら、このように工場環境を意図的に狙う攻撃は、工場が受けるサイバー攻撃全体の氷山の一角に過ぎません。セキュリティを検討する上で大切なのは、攻撃の全体像を把握し、効果の高いセキュリティ対策を見極めることです。その見極めを行う上で、工場が受けるサイバー攻撃にはどのような種類があるのか、どれくらいの頻度で攻撃を受けているのか。それを示すことができれば、工場セキュリティを考える上での大きなヒントになります。
では、工場が受けるサイバー攻撃の実態を測るにはどのような方法が最適なのか。それを検討した結果、トレンドマイクロは、本物の工場と見分けがつかないおとり調査システム(ファクトリーハニーポット)を構築し、実際に被弾するサイバー攻撃を観測・分析するという手法を選択しました。
手法:工場環境を模倣したおとり調査システムと架空会社の構築
「ハニーポット」でスキャナーツールを欺く
本物と見分けがつかない偽の工場システムを創り上げるのは、意外に難しいものです。サイバー攻撃のおとり調査を仕掛けるにあたり、「これは本物の工場である」と思わせなければならない相手は2種類います。ひとつは攻撃者(人間)、もうひとつはSHODANなどのスキャナーツール(機械)です。攻撃者はスキャナーツールを利用して、標的となる脆弱なIPを探すことが頻繁にあります。写真1 は、スキャナーが検索したIPをハニーポットであると判断した実際の例です。
ハニーポットとわかってしまうのはなぜかというと、本物の工場環境では明らかにあり得ない設定があるからです。例えば、ポートがすべて空いている場合や、ハニーネットなどの有名なハニーポットプログラムにリンクされている場合、また、工場にも関わらず仮想環境のみで稼働している場合や、内部通信が全く観測されない場合などもハニーポットと判断されます。ハニーポットを本気で構築・運用しようとすると、サイバーセキュリティと工場のネットワークや設備に関する非常に専門的な知識に加え、時間と労力がかかります。
上記の影響を踏まえ、トレンドマイクロは、工場の専門家のフィードバックを受けながら実際の工場環境に限りなく近いシステムを構築しました。写真2が当該システムの構成図です。
外部への接続口となるセルラールータからファイアウォール、ファイルサーバ、EWS※1などをそろえ、工場機器としてPLC※2やHMI※3も広く普及している機器を選定し、稼働させました。実際の工場環境で利用されている物理機器を使用したことも、このハニーポットの大きな特徴です。その結果、スキャナーも「ICS(産業制御システム)」と判断するほどのハニーポットシステムを創り上げることに成功しました(写真3)
※1 Engineering Workstation:PLCのプログラム開発、書き込みをおこなう装置。
※2 Programmable Logic Controller:産業制御システムで使用される機械を制御するための装置。
※3 Human Machine Interface:システム管理者やオペレーターがシステム全体の状況を確認したり、制御したりするためのインターフェース。
「ハニーカンパニー」で攻撃者を欺く
おとり調査の実現のためには、人間である攻撃者にも「これは本物の工場だ」と思わせなければなりません。また、より多くの攻撃を観測するためには、攻撃者が狙う価値を感じるほどのものに仕立て上げる必要があります。そのために、トレンドマイクロは攻撃者をおびき寄せるためのおとり企業(ハニーカンパニー)を創り上げました。ハニーカンパニーは架空企業で、実在しません。しかし、その架空企業があたかも工場(=上記のハニーポット)を持っていて、ビジネスを行っているかのように見せかけるために、ホームページや架空の従業員データをも作りこみました(写真4)。従業員も実在する人物ではなく、その顔写真はAIを用いて自動生成した架空のものです。
加えて、会社の電話番号やメールアドレスも用意し、万が一外部から連絡が入った際も対応ができるように設定を行いました。また、攻撃者にとって魅力的なターゲットに映るように、ホームページには「公共機関や大手企業との取引実績あり」という旨のアピール文を記載しました。ちなみにこのハニーカンパニーは「試作品の製造/コンサルティングに特化したスタートアップ企業」という設定です。
この試みは成功しました。実際、外部のセキュリティリサーチャーからこの工場(ハニーポット)のセキュリティ対策に問題がある旨の連絡があったほどです。ハニーポットを稼働させていた240日間で、ホワイトハッカーからのこのような通報が2件確認されました。外部のリサーチャーも勘違いするほど本物に近いおとりシステムが構築できたと言えるでしょう。
このような周到な準備を経て、このおとり調査システムは2019年5月6日にインターネット上に公開されました。結果として、おとり調査システムが稼働していた240日の間に、30件のサイバー攻撃が観測され、そのうちの6件で工場の生産性に影響がおよぶ事態となりました。
後編では、どのようなサイバー攻撃が観測されたのかを詳しく見ていきます。
コラム後編はこちら
石原 陽平 YOHEI ISHIHARA
トレンドマイクロ株式会社
グローバルIoTマーケティング室
セキュリティエバンジェリスト
カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。