EDA・ソフトウエア 強いLSIやボードを設計するための
 

【第2回】制御システムの脆弱性発見

中西 基裕=情報処理推進機構(IPA)
2013/01/29 00:00
印刷用ページ

 第1回に述べたように、ネットワーク機能を搭載した組み込み機器や制御システムでも、セキュリティー研究者により脆弱性が調査され、報告されるようになってきている。

 組み込み機器では、インターネット家電、医療機器、自動車などで脆弱性の研究報告がされている。医療機器では人工心臓や投薬装置の脆弱性によって利用者の生命に影響を及ぼす攻撃が可能という報告や、自動車では遠隔操作機能を悪用されることで重大な事故に直結する可能性があるという報告があり、その影響の大きさから注目も大きくなっている。

 一方、制御システムは、電気・ガス・水道などの重要インフラなどに使用されているため、攻撃された場合に大きな被害が想定される。今回は特に問題が顕在化している制御システムに焦点を当てて、ここ1年間で急激に変化している脆弱性の発見動向や脆弱性公表の背景を紹介する。

日本製の制御システムからも脆弱性

 制御システムの脆弱性は、Stuxnetが悪用した脆弱性のように、秘密裡に調査発見されて悪用される印象があるかもしれない。しかし、ここ数年で、政府や大学の研究機関、セキュリティー企業などによって、“公に”調査されるようになっている。

 Windowsなどの汎用的なソフトウエア製品の脆弱性を突く攻撃コードは、以前からインターネット上の情報共有サイトで公開されている。最近では、同様の傾向が制御システムでも見られるようになってきた。組織に所属しない独立系の研究者が攻撃コードを公開するケースが増えてきたのだ。つまり、制御システムであっても、攻撃者からアクセス可能な環境に置かれていれば、その脆弱性を突かれて攻撃を受ける状況になりつつあるということだ。

 制御システムの脆弱性の発見と公表は特に米国で活発に行われている。米国のセキュリティー・コンサルティング企業のDigital Bond社は、2012年1月に米国フロリダ州マイアミにおいて、同社が主催した「S4」というカンファレンス・イベントの中で、「Basecamp」という名前の制御システムの脆弱性調査大会を開催した。Basecampの意義に賛同した研究者6チームが、制御システム・ベンダー6社の製品に対して、メンテナンス用のバックドアの有無、Webインタフェースや基本設定の不備などについて調査した。結果Digital Bond社によりインターネットで公表された。公表された調査対象には、日本のベンダーの製品も含まれていた(Digital Bond社のリリース(外部リンク))。

 日本製の制御システム製品も海外に輸出されている現状があり、日本製の制御システムが家電や自動車のように品質が良いと海外から評価されて導入されている一方で、Digital Bond社のBasecampは、日本製品の脆弱性は輸出先の米国で脅威として問題視されていることを認知するきっかけを与えた。

産業用制御システムの脆弱性を扱う「ICS-CERT」

 現在、世界各国の研究者によって発見された制御システムの脆弱性の多くは、米国の国土安全保障省(Department of Homeland Security)の機関である「ICS-CERT(Industrial Control System Cyber Emergency Response Team)」に届けられている。

 ICS-CERTは届けられた脆弱性を分析し、製品のベンダーへ対策を促し、ICS-CERT自身で脆弱性の公表を行う。ICS-CERTの脆弱性公開方針として、ベンダーの対応が鈍い場合に、ICS-CERTの判断によりベンダーへ通知した45日後に公表を行う可能性があると示されている(制御システムセキュリティプログラム(CSSP) ICS-CERT 脆弱性公開方針(日本語訳)(外部リンク))。

 日本では、制御システムに関わらず、販路が限定されている製品は、ベンダー企業が顧客をすべて把握していて、細やかなケアが行えるため、脆弱性を公表しない方針を取っている場合があるようだ。しかし、日本のベンダー企業はICS-CERTのような海外の機関や研究者から脆弱性を公表される可能性があることを知っておく必要がある。

ここから先は日経テクノロジーオンライン会員の方のみ、お読みいただけます。
・会員登録済みの方は、左下の「ログイン」ボタンをクリックしてログイン完了後にご参照ください。
・会員登録がお済みでない方は、右下の会員登録ボタンをクリックして、会員登録を完了させてからご参照ください。会員登録は無料です。

<技術者塾>
電源制御と主回路の定式化手法(2日間)
~状態平均化法によるコンバータの伝達関数の導出と制御設計の基礎について事例を基にわかりやすく解説~



これまでの電源設計の教科書にはない新しい見地から基礎理論および実践例について解説するとともに、「系の安定度」の問題点と解決手法についても解説します。今年3月に発刊した「スイッチング電源制御設計の基礎」(日経BP社刊)をベースに最新の内容を解説いたします。詳細はこちら

【日時】:2015年9月28~29日 10:00~17:00 (開場9:30)予定
【会場】:化学会館(東京・御茶ノ水)
【主催】:日経エレクトロニクス

マイページ

マイページのご利用には日経テクノロジーオンラインの会員登録が必要です。

マイページでは記事のクリッピング(ブックマーク)、登録したキーワードを含む新着記事の表示(Myキーワード)、登録した連載の新着記事表示(連載ウォッチ)が利用できます。

協力メディア&
関連サイト

  • 日経エレクトロニクス
  • 日経ものづくり
  • 日経Automotive
  • 日経デジタルヘルス
  • メガソーラービジネス
  • 明日をつむぐテクノロジー
  • 新・公民連携最前線
  • 技術者塾

Follow Us

  • Facebook
  • Twitter
  • RSS

お薦めトピック

日経テクノロジーオンラインSpecial

記事ランキング