ICSセキュリティの盲点 ― プロトコルゲートウェイ:(1)プロトコルゲートウェイの重要性
本ブログシリーズでは、本リサーチの結果をもとに、工場のスマート化に欠かせないプロトコルゲートウェイに見つかった深刻な脆弱性の影響を分析し、ICSセキュリティ管理者が取るべきセキュリティ対策を提示します。第一回となる今回では、ICS環境におけるプロトコルゲートウェイの重要性と本リサーチのスコープについて説明します。
プロトコルゲートウェイは、「プロトコル変換器」「プロトコルコンバータ」とも呼ばれる小型のネットワーク機器で、異なるプロトコルによる通信の仲介役を担ういわばデジタル世界の「通訳」のような存在です。IoTで加速するネットワークの統合により、プロトコル変換の重要性は高まっています。しかし、プロトコルゲートウェイのセキュリティについては、今まで十分に検証されてきませんでした。トレンドマイクロは、プロトコルゲートウェイの持ちうる潜在的なセキュリティリスクに着目し、2020年8月6日、そのセキュリティリスクをまとめたホワイトペーパーをリリースしました。本ブログシリーズでは、本リサーチの結果をもとに、工場のスマート化に欠かせないプロトコルゲートウェイに見つかった深刻な脆弱性の影響を分析し、ICSセキュリティ管理者が取るべきセキュリティ対策を提示します。第一回となる今回では、ICS環境におけるプロトコルゲートウェイの重要性と本リサーチのスコープについて説明します。
プロトコルゲートウェイとは人が誰かと通信を行うためには、通信に参加する人間たちの間であらかじめ通信方法に関するルールを定めなければなりません。このルールをプロトコルと呼びます。人間の例でみると、ある地域では英語を、またある異なる地域では日本語をプロトコルにしています。あなたが住む地域では、別のプロトコルを採用しているかもしれません。プロトコルを定め、それに従うことは、通信を成立させるための基本原理と言えます。したがって、異なる言語圏の相手、つまりプロトコルが異なる相手と通信を行いたい場合は、相手側のプロトコルを学ぶか、通訳を立てる必要があります。
ITの世界でも、上記の原理は変わりません。というより、さらに厳密です。機器はそれぞれの言語(=プロトコル)を喋り、他の機器と通信します。たとえば、インターネットにつながる機器の多くはTCP/IPというプロトコルに順じていたり、工場機器などはシリアルポートを通じてModbus RTUというプロトコルで通信を行っていたりします。そして、人間のコミュニケーションと同様に、産業機器がインターネットを通じて他の機器と通信を行う場合は、異文化をつなぐ通訳のような存在を仲介役として立てる必要があります。この仲介役をプロトコルゲートウェイと呼び、この通信機器同士の異文化交流を、IoTと呼びます。プロトコルゲートウェイは、IoTの実現を陰ながら支える存在なのです。
スマート化に欠かせないプロトコル変換プロトコルゲートウェイはその性質上、話題の中心になりにくいデバイスですが、新旧機器およびIT/OTの融合が必要となる環境に多く導入されています。産業制御システム(ICS)がその代表と言えるでしょう。ICSネットワークは、Ethernetをベースとする制御系ネットワークと、シリアル通信OTプロトコルをベースとするフィールドネットワークの統合により機能しており、インダストリー4.0およびスマートファクトリーへの志向がその傾向に拍車をかけています。図1のとおり、プロトコルゲートウェイは、制御系ネットワークとフィールドネットワークの間に設置されます。プロトコルゲートウェイが双方のプロトコル変換を行うことで、HMIやEWSなどのデバイスとPLCの通信が可能となり、PLC配下にあるアクチュエータとのデータ交換が間接的に可能となります。
また、工場や発電所・ダムのスマート化によって、プロトコルゲートウェイの機能も複雑さを増しています。なぜなら、ICSネットワークの範囲はいまや工場だけにとどまらず、オフィスネットワークやクラウドサービスにも広がっているからです。そのため、プロトコルゲートウェイがカバーすべきサービス範囲もModbus TCP、EtherNet/ IP、DNP3、PROFINET、MQTTなどのレガシープロトコルだけに留まらず、Amazon Web Services (AWS)、Microsoft Azureなどのクラウドサービスにまで広がっています。工場設備はIT機器と比べてライフサイクルが長いことも相まって、プロトコルゲートウェイの活用の機会が増えています。
プロトコルゲートウェイが悪用された事例:ウクライナの発電所を狙った攻撃プロトコルゲートウェイはホームルーターほどの大きさで、価格もおよそ300ドルからと手ごろです。そして、小型機器であるがゆえにCPUやメモリなどのコンピューティング性能が低くなる傾向があります。しかし、前述した通り、プロトコル変換は多様性の高いネットワーク環境において重要な役割を果たします。そしてその分、プロトコル変換に不備があった場合の影響範囲も大きいと言えるでしょう。その影響を示した事例が2015年に報道されたウクライナの発電所へのサイバー攻撃です。
プロトコルゲートウェイに障害が発生すると、制御システムと機械の間の通信が停止します。そうなると、普段HMIやワークステーションから機械を制御している現場のオペレータは、なにもできなくなってしまいます。ウクライナの電力網への攻撃は、この特性を利用したものでした。E-ISACのレポートによると、攻撃者は電力網の制御システムにアクセスした後、ブレーカーを開くコマンドを実行することにより停電を引き起こしたとされています。その際、攻撃者はあらかじめ破損したファームウェアをアップロードし、変電所のプロトコルゲートウェイを無効化していました。そのためオペレータは、ブレーカーを閉じるための制御コマンドを送信できませんでした。これにより停電は長時間にわたって続くこととなり、復旧作業がはるかに困難となってしまったわけです。このように、ITとOTの小さな仲介役を失ったことで、社会に大きなダメージをもたらす結果となりました。
プロトコルゲートウェイはICSセキュリティの「盲点」
ウクライナのこの事例は広く報道されており、知る人も多いサイバーインシデントです。しかし、このサイバー攻撃にプロトコルゲートウェイの脆弱性が利用されていたことに注目する人は多くありません。なぜかと言えば、以下の理由が挙げられます。
1. プロトコルゲートウェイは低価格・低スペックの組み込み機器であり、プロトコル変換を担うシンプルなデバイスとみなされていることから、セキュリティ監視対象の資産として扱われることがほとんどない。
2. プロトコル変換機能に設計上の欠陥やその悪用があったとしても、攻撃の検知や分析が非常に困難である。これは、プロトコル変換時にエラーや不正があったとしても、通信そのものは正規のプロトコルに則ったものであることに起因する。
上記から、プロトコルゲートウェイをセキュリティ対策が必要な資産と認識しているユーザは多くないと予想され、サイバーセキュリティの観点から見れば、プロトコルゲートウェイはいわばICS環境の「盲点」であると言えるでしょう。この盲点に光を当て、サイバーセキュリティリスクを示し、しかるべき対策へとつなげることが本リサーチの目的です。具体的には、上記2で言及しているようなプロトコル変換機能における設計上の欠陥を明らかにし、プロトコルゲートウェイを自社設備に導入しているユーザが取り得るセキュリティ対策を明示することを、本リサーチの目標としています。
本リサーチのスコープ上記の目標を達成するために、トレンドマイクロは全世界でOTプロトコルのデファクトスタンダードとなっているModbusのリサーチに焦点を当てました。ICS環境で使用されている通信プトロコルは多岐にわたりますが、Modbusはオープンスタンダードであるため、異なるメーカーのさまざまな機器間の相互運用性を可能にします。また、本リサーチの検証対象として、市場に広く流通しているModbusをサポートするプロトコルゲートウェイ5種を選定し、実機を用いたセキュリティ評価を行いました。表1は、今回検証したプロトコルゲートウェイの一覧です。
次回は、本リサーチの検証方法と結果を概観し、実験で明らかになったセキュリティリスクの一つである「プロトコル変換機能の欠陥」について解説します。
----------------------------------------------------
石原 陽平 YOHEI ISHIHARA
トレンドマイクロ株式会社 グローバルIoTマーケティング室
セキュリティエバンジェリスト
カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。