ニュース
» 2019年10月10日 11時00分 公開

脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠に:「CNC」も「CODESYS」も脆弱性とは無縁ではない (1/3)

CNCやCODESYSなど製造現場で活躍するシステムも、常にセキュリティリスクに晒されている。ロシアのセキュリティ企業、Kasperskyによるリサーチによると、製造現場においても脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠であることが示された。

[高橋睦美,MONOist]

 製造現場で活躍するCNC(Computer Numerical Control)もまた脆弱性と無縁ではない――。

 ロシアのセキュリティ企業、Kasperskyが2019年9月19、20日にロシアのソチで開催した「Kaspersky Industrial Cybersecurity Conference」では、そんなリサーチ結果が示された。

 「Security of CNC machines in manufacturing」というタイトルでセッションを行ったKasperskyのGleb Gritsai氏によると、「CNCマシンはさまざまな部品の生産に使われているが、中には実質的なPCが組み込まれていたり、内部にイーサネットネットワークが構成されているものもある」と指摘した。長らくブラックボックス的に、個別にカスタマイズされてきたCNCマシンだが、ここにも汎用的なIT技術が普及しつつあるという。

 CNCマシンはCAD/CAMのデザインを元に、HMI/PLCを介してGコードコマンドを実行していくが、「安全性についてはいろいろ考慮されているが、脅威もある」(Gritsai氏)。

photo KasperskyのSergey Sidorov氏(左)とGleb Gritsai氏(右)

 攻撃によってソフトウェア自体が破損したり、知的財産であるGコードが流出したりするリスクに加え、「ほんの少しだけコードを変えて、仕様とは異なるプロダクトを作らせることもあり得る。部品の仕上がりや品質が変わってしまうため、企業に対する信頼に大きな影響が生じるだろう」とGritsai氏は指摘した。また、回転数や温度といった条件をちょっと変えれば、マシン自体が破損したり、操作者がけがをする恐れもある。

 事実Gritsai氏と同僚のSergey Sidorov氏は、「Siemens SINUMERIK」シリーズをはじめ、ファナックや三菱、Heidenhainといったいくつかのベンダーが提供するCNCマシンを調査し、脆弱性を発見した。ただしいずれもメーカーに連絡し、修正の後に脆弱性情報を公開するというコーディネーションの元で対応済みであり、実害は報告されていないという。

photo

 ただ、脆弱性の種類は幅広い。Sidorov氏によると、不正アクセスを許すユーザー名とパスワードのハードコード(埋め込み)に始まり、ローカルでの権限昇格、ファイルパーミッションの不備(ファイルの読み書きを許してしまう)、バッファオーバーフローや整数オーバーフローに起因するリモートからのコード実行など、ITの世界でもしばしば見られるソフトウェアの脆弱性が発見された。

 もちろん、CNCマシンに触れることのできる人は限られていることから、ITシステムのように即座に深刻な事態に陥ることは考えにくい。ただ一方で、こうした機器の場合、脆弱性を修正するパッチを気軽に適用できないという課題もある。

 Gritsai氏は「全ての機器にパッチを適用できないならば、アタックサーフェイスを減らすべきだ。脆弱性の情報を吟味し、脅威モデルに基づいてインパクトを算出して優先順位付けを行い、危険性を踏まえて経営層に対応を促すべきだ」と述べた。

 ICSの領域では、その脅威モデルも確立しているとは言い難い状況だが、現実的な推奨策として、ファイアウォール的なもので内部ネットワークを区切ったり、リムーバブルメディアのスキャンを行うといった対策の他に、Gコードのログを監査するなどいくつかのアドバイスを述べた。そして、CNCのベンダーにはセキュリティ関連の証跡を求め、システムインテグレーターにはベンダーが提示するセキュリティガイドに沿った機器の実装・運用を求めることもポイントだとGritsai氏は述べた。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.