　しかし、ここまで見てきたスタックスネットが制御システムを破壊した方法を、制御システム技術者としての言葉で冷静に要約すると、「PLCのラダープログラミングソフトをハッキングされて、対象制御システムのラダープログラムを改ざんされた」ということになる。実は、この点が制御システム技術者にとってのスタックスネットの本質なのだ。

　そして、これだけを捉えれば、脅威はシーメンス社製のPLCのみならず、全ての制御システムについて等しく存在しているといっても良い。スタックスネットがStep 7を改ざんしたのは、「s7otbxdx.dll」モジュールのみだが、Step 7には他にも多くのモジュールが存在する。

　にもかかわらず、この肝となるモジュールのみを改ざんして目的を達成していることを考えると、スタックスネットの作成者の中には、Step 7のソフトウェア設計を詳しく理解している人間がいたということが想定される。ということは、そのような人間の協力を取り付けて、十分なコストを掛ければここまでのレベルのものができてしまうということだ。まだ多くの事例が現れないのは、ラダープログラミングソフトのモジュールを置き換えるなどという方法はとてもコストが掛かるため、簡単にはできない、というだけの話である。

スタックスネットと同様の効果は簡単に実現可能

　しかし、このような攻撃手法が現実となった今、制御システムを破壊、妨害することが目的であれば、実はスタックスネットほどの高度な攻撃が必要ないことは、賢明な制御システム技術者ならすぐに思い付くのではないだろうか。例えばプログラムの改ざんではなく、データメモリの値やビット値をレシピのように外部から書き換えてしまうようなことができれば、同様の効果をもたらすことができるかもしれない。

　前回の記事でも述べたように、制御システムを取り巻く環境は、利便性やコスト削減を求めてより「オープン」となり、スタックスネットのような攻撃が、読者の関わっている制御システムを襲う可能性は以前に比べてはるかに増加している。この「オープン」化が止められない現状では、制御システムのセキュリティは、オープン化を前提として考えていかなければならない問題といえるだろう。

◇　　　　　◇　　　　　◇

　次回は、このスタックスネットのような脅威に立ち向かうために、制御システムに対してどのようなセキュリティを施していけばよいのか、基礎的な知識を紹介したい。