【特集】WannaCry騒動で明らかになったIoT/OTに迫る危機

2017年5月12日(GMT)に登場し、日本のみならず世界中に影響を及ぼしたランサムウェア「WannaCry」の一件は、記憶に新しいことでしょう。被害は150カ国以上に広がり、約35万件以上の感染が報告されています。

20170620_2

「『ランサムウェア』自体は昨年から大流行していましたし、脆弱性を突いてネットワークに接続しているだけで感染する『ワーム』もポピュラーなものです。しかし、この2つが結び付いたことで、脅威が顕在化したのではないでしょうか」と、マカフィー株式会社  シニア セキュリティ アドバイザー 佐々木 弘志(セールスエンジニアリング本部 サイバー戦略室)は説明しています。

佐々木はさらに、「WannaCry」の登場は、Internet of Things(IoT)やOperation Technology(OT、制御システム)のセキュリティに一石を投じるものだと指摘します。事実Twitterのタイムラインには、PCの画面だけでなく、駅のデジタルサイネージや銀行ATM、さらには小売店鋪の端末や工場の制御端末など、さまざまな機器がWannaCryに感染し、「Ooops, your files have been encrypted!」という画面が表示されている様子が投稿されていました。

「ただ、WannaCryがIoTやOTシステムを狙ったというわけではなく、これらは『流れ弾』が当たったものと考えるべきだと思います。というのもWannaCryの主な機能は、金銭を要求することです。パソコンのようなIT機器とは異なり、これらIoT/OT機器は、身代金を支払って、暗号を解除するためのインターフェイスを備えていません。お金を払う手段がないのですから、直接IoTやOTシステムを狙ったということではないと考えられます。」(佐々木)

逆に言えば、流れ弾でさえこれだけの被害が生じてしまったわけです。佐々木は「IoTが普及し、さまざまな端末がインターネットに接続されることによって、こうした脅威が現実のものになることが示されました。おそらく、ITシステム管理者が把握していないリモートメンテナンス用のポートが開いているなどして、そこから感染が広がった可能性があります」と佐々木は述べ、この事実を受け止め、脅威のさらなる凶悪化に備えるべきだと警告します。

●より凶悪化して再登場していた「Shamoon」

というのも、それを裏付ける動きも見られるからです。実は、WannaCry騒動の影に隠れてあまり目立たなかったのですが、マカフィーではこの時期、興味深い攻撃についてのレポートを公開しています。それが、サウジアラビアのエネルギー関連会社や官公庁や金融機関をターゲットにした「Shamoon」です。

Shamoonが初めて登場したのは2012年のことでした。サウジアラビアの特定の石油企業を狙い、感染すると重要なデータごとマスターブートレコードを消去してしまい、ITシステムが起動しなくなってしまうというものでした。

この第二弾と見られる攻撃が、2016年11月に発生しました。やはり、感染するとファイルをワイプ(消去)してしまうものですが、ターゲットは、特定企業にとどまらず、エネルギー関連企業や官公庁、金融機関にも広がり、またスピアフィッシング用のメールの文面がこなれたものになるなど、4年前に比べ手口も高度化しています。マカフィーでは解析の結果、一連の攻撃は同じ犯行グループによるものと判断し、注意を呼び掛けています。

「ShamoonがWannaCryと違うのは、金銭目的ではなく破壊を目的にしていることです。この攻撃では、仕掛けた側が儲かるわけではありません。にも関わらず、非常に高度で手の込んだ攻撃を、お金をかけて実行しています。このことから、おそらく何らかの国家主体がスポンサーとなった集団が、政治的な目的をもって、この攻撃を実行していると思われます。」(佐々木)

●IoTやOTシステムの破壊を目的としたマルウェアがワーム的に拡散したら?

その上で佐々木は、ワームとランサムウェアが組み合わさったWannaCryが大きな影響を与えたように、ShamoonとWannaCryのような攻撃が組み合わさり、大きな被害を及ぼす可能性を懸念しています。

「もしIoTやOTシステムを停止させることを目的にするならば、デバイスや端末にマルウェアを感染させて、Shamoonのようにワイプしてしまえばすみます。IoTが普及したり、OTシステムであっても何らかの形でインターネットにつながる機器が増えています。この中で一歩間違いが起こり、ワイプ系の攻撃がワームのように広がる『Next Shamoon』が登場すれば、OTシステムの情報が全て消し去られ、破壊される可能性もあります。IT系ならばPCを取り替えればすむでしょうが、制御システムがいったん停止すれば、バックアップに切り替えるとしても、その間の操業停止等による損失は膨大なものになるでしょう。」(佐々木)

これは決して、遠い国の絵空事と片付けるわけにはいかない問題です。脆弱性やそれを悪用するツールの情報は公表されています。WannaCryですらこれだけの騒ぎになったのですから、Shamoonのような破壊的なマルウェアが脆弱性を突いて自動的に広がったらと考えると、ぞっとするものがあります。

では、私たちにできる対策とは何でしょうか。佐々木は、これまで別々に運用されてきたITとOTの部門が連携し、統合されたガバナンスの基で運用・管理していく必要があると述べています。WannaCryの一件で明らかになったとおり、IT部門が把握していない「裏口」がIoTやOTシステム側に存在する可能性があるからです。「『OTはよろしく』で、ITだけをしっかり管理していればいい時代は終わりました。脅威がそれを追い越してしまっている状況です。」(佐々木)

その上で、IoTやOTシステムにおけるファイアウォールや暗号化といった対策をうんぬんする以前に、機器管理から始めるべきと言います。「CERT機関から何らかの脆弱性が公表されたり、WannaCryのようなマルウェアが登場したときに、自社の管理する機器が感染しているかどうか、あるいはこれから感染する可能性があるかどうかを確認し、経営層に報告するための調査が必要です。特にIoTやOTシステムは、IT部門の機器管理とは別管理になっているケースが多いため、確認作業は毎回大変なものとなるでしょう。」と佐々木は述べ、ITだけでなくOTに関しても、動いているOSのバージョンは何で、パッチは当たっているのかの管理が必要だと指摘しました。

こうした対策を推進するには、何より「人」の連携が欠かせません。IT担当とOT担当の話はなかなか嚙み合わないと言われますが、一方でリスクを認識し、ワーキンググループを作って取り組み始めた企業もあります。ただでさえ人手不足が叫ばれていますが、時にはOT機器のベンダーも交え、ITとOTにまたがるガバナンスとマネジメントを実現することが重要です。

1つだけいいニュースを挙げるとすれば、現時点では、IoTやOTシステムに対する攻撃は初歩的なものが大半を占めていますので、不要な通信ポートのチェックや機器のパスワードの見直しなどの基本的な対策であってもそれなりに効果が期待できます。いつか来るかもしれない本気の攻撃に備え、ぜひ今から準備を整えていただければと思います。


【関連記事】

IoT時代のセキュリティを考える(1) : IoT時代の安心・安全とは?

IoT時代のセキュリティを考える(2) : 安心への取組みと課題

IoT時代のセキュリティを考える(3) :ITとOTの人はなぜ相性が悪いのか?

進化したShamoonの再来

Shamoonマルウェアの現状: 同一攻撃者による別系統の攻撃

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速