第1回ではStuxnet(スタクスネット)の事例とともに、制御システムを取巻くセキュリティ環境について述べてきた。今回は、Stuxnet以外のセキュリティインシデントを取り上げ、制御システムを対象にした脅威の実態について述べ、制御システムにおける現状のセキュリティ対策について考察してみたい。

 Stuxnetは世界にインパクトを与えたが、実は制御システムの大きなセキュリティインシデントは過去にも何度か発生している。具体的な事例をいくつか紹介しよう。

1400万ドルの損害を受けたダイムラー

 事例1:2011年2月、ブラジルの発電所における制御システムが「WORM_DOWNAD(ダウンアド)」に感染した。この感染により発電所のオペレーションが停止。システムは動かず、現場からの運用データは表示されなくなった。復旧には数カ月間を要したとされており、その被害は甚大なものとなった。

 WORM_DOWNAD は複数の感染手法を用いる不正プログラムで、登場当初はWindowsの脆弱性を狙うタイプのみだったが、その後USBメモリーなどのリムーバブルメディア経由の感染、共有ネットワーク内のコンピュータへのパスワードクラック機能などを追加した亜種が登場。発電所の制御システムに到達してしまった。

 事例2:2005年8月には、独ダイムラーの米国にある13の工場が「WORM_ZOTOB(ゾトブ)」などの不正プログラムによって操業停止に陥った。各工場の製造ラインが止まり、5万人の自動車工場の労働者は50分間作業ができない状態に陥った。部品サプライヤーへの感染も疑われ、およそ1400万ドル(約11億円)の損害をもたらした。

 WORM_ZOTOBのターゲットとなるOSは主にWindows 2000で、感染したパソコンのWindowsシステムフォルダ内に 「BOTZOR.EXE」というファイルを作成する。感染したパソコンは脆弱性を利用され、ネットワーク経由でほかのパソコンに感染を拡大していく。当時、修正プログラムは公開されてはいたが、製造ラインは修正プログラムを容易に適用できない環境のため、対策はなされておらず被害が拡大した。

 事例3:2003年1月、米国オハイオ州のDavis Besse原子力発電所に、ワーム型不正プログラム「WORM_SQLP1434(通称SQL Slammer)」が侵入し、同施設のSCADAシステムを停止させた。ネットワークに接続されていた外部委託会社のパソコンが感染源だった。SQL Slammerは、施設内のプラントネットワークのパフォーマンスを低下させ、安全管理システムや監視システムを約5~6時間にわたって停止させた。

 また、ほかの電力施設との間を結ぶ通信ネットワークも混乱し、通信の遅延や遮断に追い込まれた。SQL Slammerは、SQL Server 2000の脆弱性を利用して、サーバーのメモリー中に直接侵入後、ネットワーク上に大量のパケットを送信してネットワーク機器などをダウンさせる。修正プログラムは6カ月前にMicrosoftからリリースされていたが、プラントの担当者は適用していなかった。

 このように制御システムがサイバー攻撃を受けた事例は実際には少なくない。報告されていないものや、いまだに気付かれていないものを含めると、さらに多くの事例が既に存在している可能性がある。

 ただし、Stuxnetのような意図的な攻撃かどうかは不明な面がある。不正プログラムが偶然に入り込んで制御システムを停止させたといったような、攻撃者が意図しなかった攻撃も多く存在すると見られるからだ。とはいえ、攻撃者が意図したか意図していないかを問わず、一つのインシデントの被害規模が甚大であることは過去の事例からも見て取れる。