連載
» 2014年11月26日 09時00分 UPDATE

場面で学ぶ制御システムセキュリティ講座(3):工場が襲われた時、復旧に取り掛かる前に知っておくべき5つのこと (1/2)

制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。3回目となる今回は、不正プログラムに感染した場合、復旧までに実際にどういった手順を踏むのが望ましいのかを解説していく。

[原聖樹/トレンドマイクロ,MONOist]
photo

 制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。前回の「生産ラインにマルウェアが侵入したらこんな感じで被害が生まれます」では、具体的な不正プログラム「DOWNAD(別名Conficker)」を例に挙げ、どういったことが発生し得るのかを解説した。

 今回は、不正プログラムに感染した場合、不正プログラムの挙動も参考に、復旧までに実際にどういった手順を踏むのが望ましいかを解説していく。



そもそも「復旧」とは何を指すのか決めておく

 「復旧」というがそもそも何を指しているのだろうか。単純に1台の端末から不正プログラムを取り除くだけでは、システム全体の復旧ができたとはいえないだろう。「他に感染がないか」「不正プログラムの駆除後にシステムが問題なく稼働するか」といった確認も行う必要がある。そのため、不正プログラムに感染した状況下で「復旧」というと、「システムが元の稼働状態に完全に戻ること」が該当するだろう。その定義の下で、万が一に備えた対応策が事前に準備されていることが望ましい。

感染した! と思ったら、真っ先に取るべき対応とは?

 不正プログラムはさまざまなモノが存在し、全ての不正プログラムが同じ動作をするわけではない。一般的に見られる動作として、例えば不正プログラム自身の感染活動の一環として、以下のような挙動が挙げられる。

  • PC内のセキュリティ対策ソフトの停止
  • ネットワーク経由で他のPCへの感染活動
  • USBメモリへの感染活動
  • C&Cサーバ※)への接続(C&Cサーバからの命令受信の待機)
  • 新しい不正プログラムのダウンロード
  • 不正プログラム自身の自動起動設定

※)C&Cサーバ(Command and Control Server):不正プログラムによって乗っ取ったコンピュータに対して外部から命令を送り制御するコンピュータのこと。

 もちろん上記以外にも、その不正プログラムが本来目的としている情報窃取などを実施するケースもある。上記のような動作が見られ、「不正プログラムに感染した」疑いがある状況の場合には、一般的には以下のような対応が望ましい。

  1. セキュリティ担当部門に連絡し指示を仰ぎ、以下のような対処を速やかに実施する
  2. ネットワークケーブルを抜く
  3. Wi-Fi接続から切断する
  4. PCの電源は「切らない」
  5. USB接続機器などは使わない

 簡単に順を追って解説していく。

1.セキュリティ担当部門への連絡

 まず、不正プログラム感染したと思われる場合は、担当部署に状況を説明し、指示を仰ぐことが必要だ。制御システムの場合は、勝手にPCの電源を切ったり、ネットワークから切断したりすると、生産に大きな影響が出るケースもある。対象機器の役割、発生した状況などに応じて、どこに連絡するのか、といった点もあらかじめ社内でルール化しておくことが望ましい。

2.ネットワークケーブルを抜く

 不正プログラムの多くは、ネットワークを利用して他の端末へ自身を感染させていく。ネットワークといっても、ファイル共有の仕組みを利用するケースもあれば、前回解説した「DOWNAD」のように、Windowsの脆弱性(RPCの脆弱性)を利用するケースもある。また、メールを利用するものもネットワークを利用する不正プログラムの一種である。さらには、インターネット経由で外部のサーバに情報を漏えいさせたり、C&Cサーバから命令を待ったり、新しい不正プログラムを次々とダウンロードするといったケースもある。そのため、セキュリティ担当部門の指示に従って、ネットワークケーブルを抜いて、それ以上のネットワークを利用した活動ができないようにすることが重要だ。

3.Wi-Fi接続から切断する

 Wi-Fiなど無線で通信をしている機器もネットワークケーブルと同様に切断する。Wi-Fiの切断は物理スイッチでOFFにできる機器もあるが、OS上での操作が必要になるケースもあるため、切断方法はあらかじめ具体的な手順を用意しておく。

4.PCの電源は「切らない」

 不正プログラムに感染した際に(あるいは疑わしい場合)、焦ってPCの電源を切ってしまう人はよくいるが、これはあまりお勧めできない。PCが再起動されるまで全ての活動を行わない不正プログラムもあるからだ。その場合には、電源を一度切ると、次に起動した時に、より被害が大きくなる可能性もある。ただ、PCを再起動しなくとも、活動を始めてしまう不正プログラムは多いので、再起動しなければ安全という意味ではない。あくまで、少しでも被害を抑えるための手段として、ネットワークから切り離した上で、電源は切らずに置いておく、ということである。

5.USB接続機器は使わない

 不正プログラムに感染した可能性が高いとなると、端末をフォーマットするという判断もあり得る。そのため、データを消す前にUSBメモリでバックアップを取ろうという人もいるだろう。もちろん必要なデータなら何らかの方法でバックアップが必要だが、USBメモリを接続すると、そのUSBメモリに不正プログラムが感染し、さらにそれを介して他のPC環境へ感染を広げることになりかねない。どうしても必要な場合は、万全の対策を用いてデータを抜き出す必要がある。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.