第1回に述べたように、ネットワーク機能を搭載した組み込み機器や制御システムでも、セキュリティー研究者により脆弱性が調査され、報告されるようになってきている。
組み込み機器では、インターネット家電、医療機器、自動車などで脆弱性の研究報告がされている。医療機器では人工心臓や投薬装置の脆弱性によって利用者の生命に影響を及ぼす攻撃が可能という報告や、自動車では遠隔操作機能を悪用されることで重大な事故に直結する可能性があるという報告があり、その影響の大きさから注目も大きくなっている。
一方、制御システムは、電気・ガス・水道などの重要インフラなどに使用されているため、攻撃された場合に大きな被害が想定される。今回は特に問題が顕在化している制御システムに焦点を当てて、ここ1年間で急激に変化している脆弱性の発見動向や脆弱性公表の背景を紹介する。
日本製の制御システムからも脆弱性
制御システムの脆弱性は、Stuxnetが悪用した脆弱性のように、秘密裡に調査発見されて悪用される印象があるかもしれない。しかし、ここ数年で、政府や大学の研究機関、セキュリティー企業などによって、“公に”調査されるようになっている。Windowsなどの汎用的なソフトウエア製品の脆弱性を突く攻撃コードは、以前からインターネット上の情報共有サイトで公開されている。最近では、同様の傾向が制御システムでも見られるようになってきた。組織に所属しない独立系の研究者が攻撃コードを公開するケースが増えてきたのだ。つまり、制御システムであっても、攻撃者からアクセス可能な環境に置かれていれば、その脆弱性を突かれて攻撃を受ける状況になりつつあるということだ。
制御システムの脆弱性の発見と公表は特に米国で活発に行われている。米国のセキュリティー・コンサルティング企業のDigital Bond社は、2012年1月に米国フロリダ州マイアミにおいて、同社が主催した「S4」というカンファレンス・イベントの中で、「Basecamp」という名前の制御システムの脆弱性調査大会を開催した。Basecampの意義に賛同した研究者6チームが、制御システム・ベンダー6社の製品に対して、メンテナンス用のバックドアの有無、Webインタフェースや基本設定の不備などについて調査した。結果Digital Bond社によりインターネットで公表された。公表された調査対象には、日本のベンダーの製品も含まれていた(Digital Bond社のリリース(外部リンク))。
日本製の制御システム製品も海外に輸出されている現状があり、日本製の制御システムが家電や自動車のように品質が良いと海外から評価されて導入されている一方で、Digital Bond社のBasecampは、日本製品の脆弱性は輸出先の米国で脅威として問題視されていることを認知するきっかけを与えた。
産業用制御システムの脆弱性を扱う「ICS-CERT」
現在、世界各国の研究者によって発見された制御システムの脆弱性の多くは、米国の国土安全保障省(Department of Homeland Security)の機関である「ICS-CERT(Industrial Control System Cyber Emergency Response Team)」に届けられている。ICS-CERTは届けられた脆弱性を分析し、製品のベンダーへ対策を促し、ICS-CERT自身で脆弱性の公表を行う。ICS-CERTの脆弱性公開方針として、ベンダーの対応が鈍い場合に、ICS-CERTの判断によりベンダーへ通知した45日後に公表を行う可能性があると示されている(制御システムセキュリティプログラム(CSSP) ICS-CERT 脆弱性公開方針(日本語訳)(外部リンク))。
日本では、制御システムに関わらず、販路が限定されている製品は、ベンダー企業が顧客をすべて把握していて、細やかなケアが行えるため、脆弱性を公表しない方針を取っている場合があるようだ。しかし、日本のベンダー企業はICS-CERTのような海外の機関や研究者から脆弱性を公表される可能性があることを知っておく必要がある。
