　インフラシステムはどのようにして攻撃され、止まってしまうのか。トレンドマイクロは独自に攻撃者のおとり（ハニーポット）となる「水道局システム」を構築し、3カ月間運用を行った。その際に、どんなことが起きたのかをトレンドマイクロのスレットリサーチャー、カイル・ウィルホイト（Kyle Wilhoit）氏が解説した。

トレンドマイクロ Threat Researcher Forward-looking Threat Researcher （FTR）カイル・ウィルホイト（Kyle Wilhoit）氏

　攻撃者の視点から考えてみよう。攻撃者はどうやって攻撃対象である水道局システムを発見するのだろうか。これは意外なことに、「Googleのカスタム検索」なのだという。水道局が持つ制御システム――バルブの制御、空冷ファンの制御、そして水道局全体の制御システムなど――には、それぞれのベンダーが用意するWeb管理画面があるという。その特徴を検索ワードとしてGoogleの検索を利用すると、ピンポイントで該当のログイン画面が見つかってしまう。さらにはそのような産業制御システムだけを検索する専用のサービス「Shodan」も存在するという。攻撃者はごく簡単に、攻撃対象を見つけることができてしまうのが現状なのだ。

産業制御システムのデバイスに特化した検索を行う「Shodan」の検索結果。IPアドレスやログインURLなどが一覧で表示される

　トレンドマイクロはこのような攻撃を注意深く観察したところ、攻撃は繰り返し行われ、「統計データを抜き取る」「システムに対する攻撃を行う」などが観測されたとのことだ。攻撃件数は全部で74件、そのうち水ポンプの停止やCPUファン速度の改変など、システム停止に至る深刻度の高い攻撃も10件確認されている。

　この原因はさまざまだが、緊急時に外部から機器を制御したいという「インターネット接続のニーズ」から、情報系システムと制御系システムがファイアウォールを通じて接続されたことが大きい。また、従来であれば特殊プロトコルを用いて制御していたシステムが、一般的なTCP/IPのプロトコルに置き換えられ、Webインタフェースなどを利用するようになったことも原因となるだろう。そのため、情報系システムに比べてセキュリティがまだ未成熟な制御系システムが狙われているのが現状だ。

まず認識すべき現状と対策は

　では、その対策はどうしたらいいのだろうか。これはやはり「セキュリティの基本」を制御系システムでも実施するということになるだろう。もちろん、「インターネットとの接続が不要」な制御系システムであれば、インターネットアクセスを無効にすることが最も確実で、分かりやすい解になる。それを含め、トレンドマイクロでは以下の手法を推奨した。