サイバー攻撃おとり調査(後編)~工場が受けるサイバー攻撃の実態~
後編となる本コラムでは、2020年1月21日にトレンドマイクロが公開した当該リサーチの内容をもとに240日間にわたるサイバー犯罪おとり調査の結果を解説します。工場に対するどのようなサイバー攻撃が、どのくらいの頻度で実際に観測されたのでしょうか?また、それらの攻撃は工場環境にどれほどの影響を及ぼしたのでしょうか?
前編はこちら
トレンドマイクロは2019年5月6日から12月31日にかけて、工場環境を精巧に再現したおとり調査システム(ハニーポット)を利用し、工場が受けるサイバー攻撃を記録、分析しました。後編となる本コラムでは、2020年1月21日にトレンドマイクロが公開した当該リサーチの内容をもとに240日間にわたるサイバー犯罪おとり調査の結果を解説します。工場に対するどのようなサイバー攻撃が、どのくらいの頻度で実際に観測されたのでしょうか?また、それらの攻撃は工場環境にどれほどの影響を及ぼしたのでしょうか?
頻度:240日間で30件のサイバー攻撃が観測された
まずはサイバー攻撃の頻度を見てみましょう。おとり調査システムが稼働していた240日の間に、30件のサイバー攻撃※1が観測されました。平均すると、8日に一回はサイバー攻撃を受けていた、つまりおよそ週に一回のペースで外部からの侵入が確認された計算になります。
図1は、30件のサイバー攻撃を時系列で一覧化した表です。
※1 サイバー攻撃:ここでのサイバー攻撃とは、外部からの無許可の侵入行為とそれに伴う不正行為を指します。
※2 ランサムウェア(Ransomware):感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラム。身代金要求型不正プログラムとも呼ばれる。
種類:産業制御システムや工場機器を意図的に狙った攻撃は観測されなかった
観測された30件のサイバー攻撃には、以下のような種類の攻撃が見られました。
・仮想通貨の不正マイニング:5回
・システムがサイバー攻撃の踏み台にされたケース※3:4回
・ランサムウェアへの感染:2回
・フェイクランサムウェア※4への感染:2回
全体の約4割となるこれら13件のサイバー攻撃は、直接または間接的に金銭的利益を得ようとするものです。ただし攻撃の種類としては、工場環境でなくとも実行できるタイプのもののみでした。
次に、残りの17件のサイバー攻撃を見てみましょう。
・環境設定の変更/操作:8回
・外部からのプログラムダウンロード:5回
・内部偵察:2回
・ホワイトハッカーからの警告:2回
これらの攻撃のうち、ホワイトハッカーからの警告を除く15件は、その攻撃目的が明確に読み取れない、いわば場当たり的な攻撃でした。今回トレンドマイクロは、おとりシステムに侵入してきたすべての攻撃を録画し、それぞれの攻撃者の動きを観察・分析しましたが、この15件には攻撃者の熟練性や発展性が見られなかったのです。つまり、攻撃対象の環境をくまなく観察したうえで設定変更や操作を行った形跡もなければ、データ窃取や妨害を意図するような計画的な動きも観察されませんでした。
そして驚くべきことに、合計30件の侵入があったにも関わらず、おとり調査システムからのデータ窃取は確認されませんでした。以上の傾向から、攻撃者は少なくとも、工場環境を意図的に狙って侵入してきたのではないと思われます。侵入した先がたまたま工場だった、とも言えるでしょう。
※3 サイバー攻撃の踏み台にされたケース:本リサーチで確認された攻撃については法執行機関との連携で対策済み。
※4 フェイクランサムウェア: ランサムウェアと同様に身代金を要求する不正プログラム。手法として、データを暗号化するわけではなく、ファイル名を変更するなどの手口を利用する。
影響:工場稼働に影響があったサイバー攻撃が6件観測された次に、工場稼働への影響の有無を見てみましょう。今回のおとり調査では、サイバー攻撃による工場稼働停止を6件確認しました。図2の赤文字部分が、工場停止を引き起こしたサイバー攻撃です。攻撃の種類による内訳としては、以下の通りです。
・ランサムウェアへの感染:2回
・環境設定の変更/操作:4回
注目すべきは、工場環境を意図的に狙った攻撃でなくとも、工場の稼働に影響を及ぼしているという点です。複数回確認されたランサムウェア攻撃は、元々端末画面やコンピュータ内のデータを利用不可にし、復元の対価として身代金をせまるものですが、工場に対してこの攻撃が発生した場合、「工場稼働に必要なデータ(PLCロジックファイル※5など)が暗号化され利用不可になる」ため、結果的に工場稼働を止めることになります。また、12月に確認された物理機器のON/OFFをボタン一つで制御できるHMIへのアクセスは、稼働停止を意図していない人物によるアクセスだったとしてもミスオペレーションのリスクは排除しきれません。たとえ攻撃者が工場を狙っていなくとも、サイバー攻撃によって工場は止まる可能性があると言えるでしょう。
※5 PLCロジックファイル:PLCの制御に必要なプログラムファイル。
攻撃者の特徴:工場環境には詳しくない可能性が高いさらに、興味深い示唆が得られる事例を見てみましょう。トレンドマイクロは、9月に発生したCrysisランサムウェアの攻撃者に対して、被害者を装ってメールでのコンタクトを試みました。経緯は以下の通りです。
1. Crysisランサムウェア攻撃により、ファイルサーバ内のデータが暗号化される。
2. 暗号化完了の警告画面に記載されたメールアドレスに対して、トレンドマイクロがハニーカンパニーのCISOを装い、メールを送信する。
3. 仮想通貨で支払いをするようにという旨のメールが、攻撃者から返ってくる。
4. (CISOを装った)トレンドマイクロから攻撃者に対して、「支払いを行えばデータを解読するという保証もなければ、あなたが攻撃者であるという保証もない。このままでは支払えない。」という旨のメールを送る。
その後、攻撃者からのメール返信がありました。その実際のメールが写真1です。
赤枠が攻撃者からのメッセージです。内容は、「テスト用のファイルを1つだけ送ってこい。ただし重要でないファイルだ。なぜこんなことをするかって?金のためだ(筆者訳)」というものでした。
トレンドマイクロはこの指示に従って、ファイルを一つ選び攻撃者に送りました。ただし、選んだファイルは工場の稼働に最も重要なPLCロジックファイルでした。攻撃者が工場環境やデータについて十分な知識を要している人物であれば、このファイルは解読しないはずです。なぜならば、被害者側が必要なデータを取り戻すことができれば、身代金を払う必要がなくなるからです。その後まもなく、攻撃者からの返信がありました。そこには、解読されたPLCロジックファイルがありました。工場環境に詳しい攻撃者は、今のところそう多くないのかも知れません。しかしながら、このようなサイバー攻撃であっても、工場の稼働に影響を与えているということは注視すべきでしょう。
まとめ:工場はサイバーセキュリティを必要としている本コラムでは、前後編にわたり、サイバー攻撃おとり調査の結果について考察してきました。これまでの調査結果と分析から、工場が受けるサイバー攻撃の頻度と影響度について、以下の洞察が得られました。
1. 工場もサイバー攻撃を受ける。平均して8日1回の頻度でサイバー攻撃を観測した。
2. 工場が受けるサイバー攻撃の多くは、意図的に工場を狙った攻撃ではない可能性が高い。
3. 意図的に工場を狙った攻撃でなくとも、工場稼働に影響を及ぼす。
当然のことながら、工場に狙いを定めたサイバー攻撃も存在します。しかしながら、サイバー攻撃の種類と頻度には濃淡があります。今回のトレンドマイクロの調査結果が、その濃淡を示す一つの指標となり、工場セキュリティを考えるヒントとなれば幸いです。
今回のコラムではお伝えしきれなかった発見や洞察、さらにはこの調査から導かれる工場に適したセキュリティ対策などの情報も、ブログやウェビナーなどで発信していきます。ご興味のある方は、メルマガへご登録ください。
石原 陽平 YOHEI ISHIHARA
トレンドマイクロ株式会社
グローバルIoTマーケティング室
セキュリティエバンジェリスト
カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。