情報処理振興事業協会(IPA)セキュリティセンターは2001年2月27日,サイバー・クライシス対策セミナーを開催し,工場のネットワークを想定した実験システムへの不正侵入の実験や対策の効果などを発表した。実験の結果,ファイアウオールを突破されてオフィスのネットワークに侵入されれば,工場の制御系ネットワークにも不正侵入され得ることが確認された。同時に,ツールなどの対策により侵入を防げるという結果も得られたという。
|
|
対策セミナー 会場風景 |
オフィス系ネットワークから工場の制御系ネットワークを攻撃
実験は,制御系システムおよび情報系システムがゲートウエイ装置を介して接続され,Windows NTやUNIXなどオープン系のエンジニアリング・ワークステーション,生産設備を制御するプロセス・コンピュータがTCP/IPネットワークに接続されている環境で行われた。情報系システムはファイアウオールを介してインターネットに接続している。実験に参加した技術者で不正侵入を試みるチームを作成し,ファイアウオールのユーザー・アカウントとパスワードを入手したという前提で制御系ネットワークへの攻撃を試みた。その結果,不正侵入者はネットワークを流れるパケットを盗聴して,プロセス・コンピュータのコマンドを解析,ゲートウエイにコマンドを入力しデータを収集できてしまった。
対策に向けていくつかのツールを開発し,それを導入した環境での実験も行った。プロセス・コンピュータとゲートウエイの間でプロキシ(代理)サーバーとしてアクセス制御を行うツール,制御系システムのセキュリティ設定情況を検査するツール,分散型制御システムのログを記録するツール,LANの通信データを記録し不正なアクセスがないか検査するツール,指紋およびICカードで制御系システムへのアクセスの際にユーザーを認証するツール,などである。これらの対策ツールを適用することで,システムへの不正侵入はほとんど防ぐことができたという。
実験は,IPAの委託により日本アイ・ビー・エム,横河電機などが実施した。中間報告はIPAのホームページで「大規模プラントのネットワーク・セキュリティ技術開発/実証実験」として公開されている。
このほか,セキュリティを強化するためのプロトコルなどの研究や安全性評価方法などについての発表もあった。IPAのホームページ上の活動報告のサイバーテロ対策の項に報告書がある。
ソーシャル・エンジニアリング対策の遅れを指摘
セミナーでは,上記のような技術的対策の講演と並行して,非技術的対策についての講演も行われた。欧米でのサイバー・テロに対する取り組み状況の紹介,セキュリティに関するルールの体系であるセキュリティ・ポリシーの解説などである。「国内におけるソーシャル・エンジニアリングの実態調査」の発表もあった。セキュリティ用語としてのソーシャル・エンジニアリングとは,社内の人間になりすまして社屋に侵入,あるいは電話で情報を入手する,廃棄された紙から情報を盗むなどの非技術的方法による不正侵入を指す。
調査を担当したグローバルセキュリティエキスパートの顧客から無作為抽出した20社に,ソーシャル・エンジニアリングへの対応をヒアリングしたところ,20社中19社が「特にソーシャル・エンジニアリングを意識した社内ルールはない」と回答。パスワードを忘れた場合の復旧依頼は20社中10社は電子メールで,4社は口頭で依頼するようになっているが,グローバルセキュリティエキスパートでは,メールや口頭ではなりすましが可能であり,安全ではないと指摘している。また20社中18社は建物またはフロアへの部外者の侵入をチェックしていなかった。IPAの活動報告に「国内におけるソーシャル・エンジニアリングの実態調査」として公開されている。
