制御システムに関する最近の脅威と - MSCS 2018mscs2018.sice-ctrl.jp › program › _tutorials › mscs2018tutorial_abe.pdf · ics-certインシデント統計 ics-certのインシデント統計によると、インシデント報告は増加傾向にある

制御システムに関する最近の脅威とJPCERT/CC の取り組み

2018年03月10日JPCERTコーディネーションセンター制御システムセキュリティ対策グループ阿部真吾

Copyright ©2017 JPCERT/CC All rights reserved.

アジェンダ

はじめに

JPCERT/CCの紹介

制御システムにおけるサイバー脅威の傾向

制御システムにおける脆弱性の動向

セキュリティに関する対応を行う上での課題

おわりに

2


はじめに

3


インシデントとは

（コンピュータセキュリティ）インシデントとは

➢ コンピュータセキュリティに関わる事象（事件・事故）

顧客情報の入ったUSBメモリを紛失した

機密情報をSNSにアップしてしまった

システムの不具合で生産・製造ラインが停止してしまった

サイバー攻撃によってウェブサイトが改ざんされたマルウエアに感染し情報を盗まれた

4

Web

改ざんマルウエア

閲覧者攻撃者

情報や金銭

ウェブサイト改ざんによる被害の流れ（一例）


インシデントが発生してしまったとき

5

漏えい人数 496万0063人

インシデント件数 799件

想定損害賠償総額 2541億3663万円

一件あたりの漏えい人数 6578人

一件あたり平均想定損害賠償額 3億3705万円

一人あたり平均想定損害賠償額 2万8020円

引用：JNSA, 2015年情報セキュリティインシデントに関する調査報告書【速報版】

想定される影響

➢ 金銭的な被害

➢情報漏えいによる損害

➢生産停止による損害

➢ウェブサイト停止による機会損失

➢セキュリティ対応コストの増加

➢ ブランドイメージへの影響

➢ 他組織への被害（感染）拡大 etc


サイバー攻撃の対象となりうるモノの例

組織に存在するIT機器、システム

➢ 以前からあるもの

サーバ類（ウェブサーバ、DBサーバ、ファイルサーバ）

パソコン類（サーバ用PC、業務用PC、持出PC）

ルータ

➢ ここ数年になって出てきたもの

複合機

ネットカメラ

NAS

テレビ会議システム

➢ より最近出てきたもの

遠隔監視システム

スマート化されたフィールド機器

6


操業・運転への影響

操業の停止

— 完全停止 (自動復旧できない)

— 一時停止して再起動

誤動作、生産物/サービスの異常

— 生産物の品質が下がる

施設または環境の破壊や人的被害

— 工場の一部が破壊される

— 従業員がけがをする

情報漏えい

— 操業上の秘密情報が漏えいする

被害に遭ったときに受ける影響が非常に大きい

7


攻撃者の分類

攻撃の目的をもとに攻撃者を分類すると、それぞれの攻撃手法や技術力が異なることが推察できる

8

愉快犯/ハクティビスト金銭目的の攻撃者標的型攻撃の実行者

攻撃の目的 - 政治的な主張- 技術力のアピール

- 金銭の獲得(不正送金) - 標的とする組織内の重要情報窃取やシステム破壊

主な攻撃手法 - Web サイトに対するDoS

- 政治的な主張を目的とするWeb サイトの改ざん

- SNS アカウント乗っ取り

-Web サイト改ざんによるマルウエアの配布

-マルウエアが添付されたメールの送付

- Web サイト改ざんによるマルウエアの配布(ただし攻撃対象のみに限定)

技術力

低

高

JPCERT/CC にて独自に分類


JPCERTコーディネーションセンターの紹介

9


JPCERT/CCとは

一般社団法人 JPCERT コーディネーションセンターJapan Computer Emergency Response Team / Coordination Center

➢ コンピュータセキュリティインシデントへの対応、国内外にセンサをおいたインターネット定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応など国内の「セキュリティ向上を推進する活動」を実施

➢ サービス対象: 日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等（主に、情報セキュリティ担当者）

➢ インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、日本の窓口となる「CSIRT」※各国に同様の窓口となるCSIRTが存在する

(例、米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC)

経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施

10


「JPCERT/CCをご存知ですか？」

JPCERT/CCの活動

重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報

海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援

脆弱性情報ハンドリング

➢ 未公開の脆弱性関連情報を製品開発者へ提供し、対応依頼

➢ 関係機関と連携し、国際的に情報公開日を調整

➢ セキュアなコーディング手法の普及➢ 制御システムに関する脆弱性関連情報

の適切な流通

マルウエア（不正プログラム）等の攻撃手法の分析、解析アーティファクト分析

各種業務を円滑に行うための海外関係機関との連携国際連携

インシデントの予測と捕捉インシデント予防発生したインシデントへの対応

制御システムに関するインシデントハンドリング/情報収集,分析発信制御システムセキュリティ

日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携

➢ マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化

➢ 攻撃手法の分析支援による被害可能性の確認、拡散抑止

➢ 再発防止に向けた関係各関の情報交換及び情報共有

インシデントハンドリング（インシデント対応調整支援）

情報収集・分析・発信定点観測（TSUBAME）

➢ ネットワークトラフィック情報の収集分析

➢ セキュリティ上の脅威情報の収集、分析、必要とする組織への提供

11


JPCERT/CC ICSR について

制御システムセキュリティ対策グループICSR : Industrial Control Systems security Response group

➢ 2012年夏、JPCERT/CC内に本格的に「制御システムセキュリティ対策」を扱う専門部隊を立ち上げ。

➢ 主な業務は以下。1. ICSインシデント報告の受け付け・対応支援2. ICS関連製品の脆弱性情報ハンドリング3. ICSセキュリティ関連の情報収集・分析、情報提供4. 自己評価ツール(J-CLICS/SSAT)の提供5. ICSアセスメントサービス6. 普及啓発活動、外部連携➢ 制御システムセキュリティカンファレンスの開催➢ コミュニティの運営

7. 調査研究など

➢ 米国では、制御システムを専門に扱うICS-CERT(2009年より活動開始)が存在する。

12


インシデント未然防止活動

インターネットに無防備に接続されたICS機器が悪用され将来的なインシデントに繋がらないよう、未然防止の観点から利用者に対して通知を行っている

➢ 設定の見直し、セキュリティ意識の向上を目的としている

通知方法

➢ 電子メール

通知先

➢ Whois情報の管理者連絡窓口もしくは技術連絡担当者

➢ 過去の通知先

通知内容

➢ インターネットに公開されているプロトコル

➢ 稼働しているとみられる製品の情報

➢ 想定される脅威 etc

13


インターネットに接続された機器の検索｜インシデント未然防止活動

SHODAN／ZoomEyeなどの検索サービス➢ インターネットに接続された機器に対して様々な

リクエストを送信し、そのレスポンスをデータベース化したWebサービス

➢ Modbus/TCPやEtherNet/IPといった一般的なプロトコルだけでなく、特定のPLCが利用するプロトコル、HMIなど制御システム内のアプリケーションが利用するプロトコルなどへの対応(機能追加)が進んでいる

➢ 新たな検索サービスも登場しているSHODAN

— https://www.shodan.io/

ZoomEye

— https://www.zoomeye.org/

censys

— https://censys.io/

ICSfind

— http://icsfind.com/

14

引用：

https://www.shodan.io/explore/category/ind

ustrial-control-systems

https://www.shodan.io/

https://www.zoomeye.org/

https://censys.io/

http://icsfind.com/


SHODAN等の検索サービスを利用した調査｜インシデント未然防止活動

バナー情報やIPアドレスから様々な情報が特定できる

➢ 製品ベンダ名

➢ 製品型番

➢ (ソフトウエア、ファームウエア等の)バージョン

➢ Whois情報

15

SHODANで得られるバナー情報


ICSRが発信している制御システム関連情報

ニュースレター

— 月刊で発行、メーリングリストにて配布

— 脅威事例、セキュリティニュース、ICS-CERT情報 etc

ICSセキュリティ情報共有ポータルサイト(ConPaS)

— 米国ICS-CERTが公表した情報の抄訳

— 過去に発行したニュースレターや参考情報

— セキュリティ関連ガイドラインや基準等の邦訳の掲載

— ニュースクリップ etc

自己評価ツール

— 日本版SSAT(SCADA Self Assessment Tool)

— J-CLICS

16

詳細は以下をご覧ください

https://www.jpcert.or.jp/ics/

https://www.jpcert.or.jp/ics/


制御システムにおけるサイバー脅威の傾向

17


41

196

197

257

245

295

290

0 50 100 150 200 250 300 350

2010

2011

2012

2013

2014

2015

2016

米ICS-CERTインシデント統計（米会計年度別）

インシデント報告件数

ICS-CERTインシデント統計

ICS-CERTのインシデント統計によると、インシデント報告は増加傾向にある

ただし、これらの多くは情報系への影響のみで、制御システムにまで影響が及んだインシデントはごく一部と思われる

ICS-CERTの2010～2016のデータを元にJPCERT/CCにて作成https://ics-cert.us-cert.gov/Other-Reports

18


ICSを狙って作られたマルウエア

マルウエア名報告年概要

Stuxnet 2010・イランのウラン濃縮工場の遠心分離機に異常な回転をさせて破壊

Havex(DragonFly,

EnergeticBear,

CrouchingYeti)

2014

・制御ベンダのWebサイトを改ざんし制御機器用のソフトウエアにマルウエアを仕込む

・OPC関連情報を収集

BlackEnergy2 2014・SCADAの脆弱性を突いて侵入・複数の企業のインターネットに接続されたHMIが感染

BlackEnergy3 2015

・電力およびその関連業界が感染 (情報収集に利用された?)

・2015年末と2016年末のウクライナでの停電の前段階で多数の感染

・KillDiskを用いてICSのディスク装置の内容を破壊

Industroyer(CrashOverRide)

2017 ・2016年末にウクライナで遮断機を動かし停電を引き起こした

HatMan(Triton, Trisis)

2017・Schneider社製安全計装コントローラのプログラムを改竄・監視していた設備が緊急停止

19


停電を引き起こしたIndustroyer

ウクライナの電力網に対するサイバー攻撃に使用されたとみられるマルウエア

— ESET社のレポートhttps://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

— Dragos社のレポートhttps://dragos.com/blog/crashoverride/CrashOverride-01.pdf

特徴

— 電力供給システムや輸送システムで使われるプロトコルを悪用

IEC 60870-5-101、IEC 60870-5-104、IEC 61850、OPC DA等

— 変電所のスイッチやブレーカを制御可能だった

— 機能がモジュール化されているため標的とする地域やインフラに合わせた改変が容易

20

https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

https://dragos.com/blog/crashoverride/CrashOverride-01.pdf


安全計装を狙ったHatman

Schneider社製の安全計装システムTriconexを狙ったマルウエア

— FireEye社の解説記事https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-

framework-triton.html

— ICS-CERTのレポートhttps://ics-cert.us-cert.gov/sites/default/files/documents/MAR-17-352-

01%20HatMan%E2%80%94Safety%20System%20Targeted%20Malware_S508C.pdf

概要

— 2017年8月4日に中東の企業でTriconexの自己検証機能が異常を検知し、監視していた設備が緊急停止

— その後の調査でマルウエアHatManが見つかり12月中旬に公表

21

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://ics-cert.us-cert.gov/sites/default/files/documents/MAR-17-352-01 HatMan%E2%80%94Safety System Targeted Malware_S508C.pdf


HatManの動作概要

エンジニアリングワークステーション等から設定用アプリケーションになりすましてコントローラに攻撃用スクリプトを注入し、それを起動する

コントローラに注入されたスクリプトによりコントローラの状態の偵察などを行う(潜在的には改ざんも可能)

引用：

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-

framework-triton.html

22



Hatmanにおける考察

安全計装システムが改ざんされても甚大な災害には直結しないが…

— 異常がないのに緊急停止

— 異常があっても見過ごされる

…といった事態が懸念される

コントローラの設定変更を禁止する「キー」が備わっているが…

— 切り替えて厳格運用しているか？

— 侵害され無効化される可能性

引用：

https://www.fireeye.com/blog/threat-

research/2017/12/attackers-deploy-new-ics-

attack-framework-triton.html

23



ランサムウエアの大流行とICS

そもそもICSを狙って開発されたわけではない

— 「システムを復旧させて欲しければ身代金を支払え！」

— 身代金を払っても、システムを復旧できるとは限らない

ランサムウエアにもバグがある

破壊型のマルウエアが「ランサムウエア」に見せかけるケースも

ICSが感染すれば、操業の停止や復旧コスト等、企業の業績に響くような被害にも発展する

バックアップが無いために復旧に手間取るケースもある

24


ランサムウエアの大流行とICSへの影響

米国NSAから流出したとされるServer Message

Block(SMB)の脆弱性を突く攻撃コードが組み込まれたことにより強い感染力を獲得したWannaCryとNotPetya

時期記事

2016年ランサムウエア攻撃が増加(前年比5割増)

2017年3月 Server Message Blockの脆弱性情報の公表

2017年5月ランサムウエアWannaCry攻撃1日で150ヶ国の23万台に感染

2017年5月 Marcus Hutchins氏がkill switchを発見

2017年6月破壊型マルウエアNotPetya攻撃ウクライナ国内の1.25万台を攻撃その後に少なくとも64ヶ国に感染拡大

北朝鮮による攻撃？

ロシアによる対ウクライナ攻撃？

25


世界的に大きな影響を与えたWannaCry

ワーム機能を備えたランサムウエアhttps://ics-cert.kaspersky.com/reports/2017/06/22/wannacry-on-industrial-networks/

特徴— ワーム機能を備えたランサムウエア

内部・外部ネットワークへの感染拡大を行う

秒間10-20パケット送信

— 感染拡大にはSMB（MS17-010で修正）の脆弱性を悪用する

EternalBlueと呼ばれるツール

— KillSwitchと呼ばれる動作を制御する機能が存在するこの機能が存在しない亜種もある

主な被害— 欧州の自動車工場では操業を

停止した事例がある

26

https://ics-cert.kaspersky.com/reports/2017/06/22/wannacry-on-industrial-networks/


業績にも影響を与えたNotPetya

システムを破壊してしまうマルウエアhttps://www.cylance.com/ja_jp/blog/jp-threat-spotlight-petya-like-ransomware-is-nasty-

wiper.html

特徴

— ネットワーク内への感染拡大を行う

SMB（MS17-010で修正）の脆弱性の悪用する

認証情報を摂取するツールを使用する

— MBRを書き換える（OS が起動不可）

主な被害

— 豪州のチョコレート工場で操業が1日停止

— 欧州の物流会社、米国の製薬会社では業績にまで影響

27

https://www.cylance.com/ja_jp/blog/jp-threat-spotlight-petya-like-ransomware-is-nasty-wiper.html


NotPetya被害： FedEx社

米国に本拠を置く物流企業売上： 503億ドル、従業員数： 40万人

2016年5月に買収した欧州のTNT Expressで6月27日にランサムウエア攻撃を被った

— ウクライナの拠点から始まりTNT全域が感染

— 7月中旬時点で：

非常事態計画を発動しなんとかサービスを復旧

システムの完全復旧の見通し立たず

参考：FedEx Files 10-K with Additional Disclosure on Cyber-Attack Affecting TNT Express Systems

http://investors.fedex.com/news-and-events/investor-news/news-release-details/2017/FedEx-Files-10-K-with-

Additional-Disclosure-on-Cyber-Attack-Affecting-TNT-Express-Systems/default.aspx

被害： 3億ドル(復旧費用を含む)

売上：69.1億ユーロ

29


NotPetya被害： Merck社

米国に本拠を置く製薬会社売上： 395億ドル、従業員数： 7万人

6月27日にサイバー攻撃を被った

— 製造，R&D, 販売の各部門で操業に影響

— 1ヶ月で梱包は復旧できたが，調剤は復旧途上

— 一部の原薬製造は復旧までに半年以上の見通し

— 売れ筋商品の出荷を確保して売上への影響を回避

参考：四半期決算報告書（Financial Outlook部分を参照）http://www.mrknewsroom.com/news-release/corporate-news/merck-announces-second-quarter-2017-financial-

results

30


無防備にインターネットに接続していたことで感染したとみられる機器の一例

JPCERT/CCが持つ定点観測システムTSUBAMEにて観測したTelnet（Port23/TCP）のScanパケットの送信元を調査したところ、再生可能エネルギーのモニタリング装置が見つかった

➢ 推測される利用環境固定IPアドレスを使用

➢ 設置場所は不明

組み込みLinux

➢ 状況SHODANで検索可能

マルウエアに感染

踏み台として悪用されている

主な問題

➢ 攻撃者に辞書攻撃を受け、機器に侵入されていたリモート管理用にTelnetをサポートしている

➢ ローカル環境での利用を想定した機器をインターネットに直結していた製品ベンダはローカルエリアでの運用を推奨している

30

送信元IPアドレスのWebサーバで表示される発電量画面(イメージ)

○○発電モニタリング

現在の発電：△△ｋW

総量：□□ｋWh

データ設定・・・


制御システムにおける脆弱性の動向

31


米国ICS-CERTが公表した脆弱性アドバイザリ数

32

2017年(CY)はアドバイザリ： 189件(うち16件は医療用機器)

アラート： 9件

引用： ICS-CERT Annual Vulnerability Coordination Report 2016https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/NCCIC_ICS-

CERT_FY%202016_Annual_Vulnerability_Coordination_Report.pdf


ICS関連の脆弱性の動向

公表された脆弱性の9割は公表前に調整されている

— 報告者、開発者と脆弱性情報を適切に取り扱い、アップデート情報とともに情報を公開している

脆弱性のカテゴリ別内訳で筆頭に挙げられる

— バッファオーバーフロー(34%)

— 入力検証の不備(7%)

— クロスサイトスクリプティング(5%)

ベンダーが自らICS-CERTに報告する事案の割合が増加

引用： ICS-CERT Annual Vulnerability

Coordination Report 2016

33


懸念されるICS関連の脆弱性：継承される脆弱性

ICSベンダー自身が作り込んだわけではないが上流から継承される脆弱性がある

SpectreとMeltdown：プロセッサの脆弱性— 読めないように管理されているはずのメモリ領域が見える

ICS-ALERT-18-011-01B （https://ics-cert.us-cert.gov/alerts/ICS-ALERT-18-011-01B）

WiFiに対するKrack攻撃（https://www.krackattacks.com/）

OPC-UAプロトコル・スタックの脆弱性— Siemens社は脆弱性を報告しているが他のベンダーは影響を受けないのか？

ICSA-17-243-01B (https://ics-cert.us-cert.gov/advisories/ICSA-17-243-01B)

ソフトウェア・ライセンス管理用USB(SafeNetセンチネル)の脆弱性— 14件の脆弱性：挿入されたPCが脆弱な状態になる

ICSA-17-243-01B (https://ics-cert.us-cert.gov/advisories/ICSA-17-243-01B）

34

https://ics-cert.us-cert.gov/alerts/ICS-ALERT-18-011-01B

https://www.krackattacks.com/

https://ics-cert.us-cert.gov/advisories/ICSA-17-243-01B

https://ics-cert.us-cert.gov/advisories/ICSA-17-243-01B


懸念されるICS関連の脆弱性：産業用ロボット

これまでのICS用機器と同様に多数の脆弱性が潜在している（サプライチェーンの上流から継承している）と推測される

注意を喚起する報告書

— IOActive： Hacking Robots Before Skynethttps://ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf

— TripWire: More than 90% of IT Pros Expect More Attacks,

Risk, and Vulnerability with IIoT in 2017https://www.tripwire.com/state-of-security/featured/90-pros-expect-attacks-

risk-vulnerability-iiot-2017/

35

https://ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf

https://www.tripwire.com/state-of-security/featured/90-pros-expect-attacks-risk-vulnerability-iiot-2017/


ICS用モバイルアプリケーションが普及する中、脆弱性に関する報告書が公開されたhttps://ioactive.com/pdfs/SCADA-and-Mobile-Security-in-the-IoT-Era-Embedi-FINALab%20(1).pdf

— 報告書では34社のICS用モバイルアプリケーションをランダムに選んで試験した結果がまとめられている

147件の脆弱性を発見

懸念されるICS関連の脆弱性：モバイルアプリケーション

36

引用：SCADA And Mobile Security In The Internet Of Things Era

https://ioactive.com/pdfs/SCADA-and-Mobile-Security-in-the-IoT-Era-Embedi-FINALab%20(1).pdf

https://ioactive.com/pdfs/SCADA-and-Mobile-Security-in-the-IoT-Era-Embedi-FINALab (1).pdf


ブログによる公開

インターネットから接続可能な日本の制御システムがブログ記事（中国語）で公開される

➢ 公開されていたシステムの状況

インターネットから Web インターフェースにアクセス可能

インターネットから PLC のポートに到達可能

➢ 別の記事でPoCコード（概念実証コード）が公開

➢ その後、脆弱性を持つ機器の探索を目的としたスキャンパケットを確認考えられる

37

ブログ記事の抜粋


セキュリティに関する対応を行う上での課題

38


ユーザが利用するシステムがマルウエアに感染したり、脆弱性が発見されたりしたとき、誰がどのように対応するのか

➢ ユーザがシステムの設定変更等を行えば対応可能なのか

➢ SIベンダの保守で対応可能なのか

➢ 販社のサポートセンターへの問い合わせで対応可能なのか

➢ 製品ベンダが機能追加やパッチ等で対応する必要があるのか

➢ それぞれの契約の範囲はどのようになっているか

業界全体で対応を検討していく必要がある

➢ サイバー攻撃を受けることを前提とした仕組みへの切り替え

製品ベンダ製品ベンダ

販社販社

サプライチェーンの問題

39

製品ベンダ

販社SI

ベンダユーザ

製品開発

営業

技術研究サポートセンター

営業

システム開発

営業

運用保守利用者

運用管理

システムA

流通の流れ

対応の流れ


組織内での部門連携の問題

セキュリティに関する情報が外部から届いたら・・・

➢ セキュリティ担当者が直接外部からの情報を受け取るケースは少ない

➢ 情報を受け取った人が適切な部署に情報を展開する必要がある

情報のトリアージ

➢ さらに内容によって組織内の様々な部門との連携が必要

製品に関する対応

ユーザへの対応

メディアへの対応

発見者への報告 etc

40

組織A

設計

営業

開発

広報

研究

1:連絡

2:一次受け

3:情報の展開

発見者

4:連携、対応

4:連携、対応

5:フィードバック

3:第一報

6:フィードバック

深刻な事案が少ない今のうちからセキュリティを経営課題として

とらえ、取り組んでいくことが重要

脆弱性の対応例


機器のIPアドレスから調査したWhois情報は多くの場合、ISPまでしか特定できない

➢ 法律上の問題（通信の秘密）によってインシデント発生前にユーザ（アセットオーナ）を特定することが難しい

製品を特定し製品ベンダに連絡したとしても対応が限られる➢ ユーザ（アセットオーナ）の特定、（製品の範囲での）対策の実施が難しい

JPCERT/CCがインシデント未然防止活動を行う上での課題

41

製品ベンダ

SIベンダ

ユーザ

ISP

JPCERT/CC 検索サービス等Whois情報

製品情報

・管理用Web UI

・制御系プロトコル


セキュリティ対策のエコシステムへの課題

42

1

11

1

ISP事業者

被害組織

ベンダ(国内・海外) 設置事業者・販売店

ユーザ・管理者

ファームウエアのアップデート開発

課題：

・使用可能な機能を制限することは対処しづらい

・OEM製品の場合、自社による対応が困難

アップデートや機器の復旧方法のアナウンス

課題：販売先、設置先管理まで面倒は見られない

ファームウエアのアップデート実施

課題：

・そもそも感染に気付けない

・自らは被害者ではないので、対策をとるインセンティブがない

脆弱性などのある機器の特定

課題：ネットワーク上の機器の状態を認知することが困難

インシデント対応支援

課題：被害組織や原因が必ず特定できるわけではない

被害への対応

課題：影響範囲の特定や対策の実施には時間がかかる

お互いの立場や範囲を理解し、協力していくことが重要！


おわりに

43


Controller

I/O

Controller

I/O

App

server

Maint

serverData

server

File/Print

server

Data

serverApp

server

HMI

EWSLaptopRouter

FW

FW

インターネット

Controller

I/O

Controller

I/O

File/Print

server

Data

serverApp

server

HMI

EWSLaptop

Router

拠点地区 A地区工場Server

Controller

I/O

Controller

I/O

File/Print

server

Data

serverApp

server

HMIEWS

LaptopRouter

B地区工場

保守用PC

Webで検索！

感染経路となりうるポイント

44

Copyright ©2017 JPCERT/CC All rights reserved.45

考えられるセキュリティ対策

設計段階、運用段階で考慮すべきセキュリティ➢ 設計段階（ベンダ）

セキュリティ機能の実装（認証、暗号化など）

セキュアデザイン、セキュアコーディング

➢ 運用段階（ユーザ）

セキュリティに関する設定、セキュリティパッチの適用

異常検知のための継続的なモニタリング

セキュリティアセスメント

セキュリティソリューションの活用➢ ホワイトリスト

➢ 振る舞い検知

➢ 一方向通信制御

➢ ネットワークモニタリング

➢ セキュリティスイッチ etc


まとめ

攻撃者は様々なタイプのマルウエアやツールを組み合わせてサイバー攻撃を仕掛けてくる

制御システムにまで影響が出る事例も増加している

真のエアギャップを担保するのは難しいため、今一度、接続点のセキュリティの見直しを推奨する

— 気づいたらネットワーク経由、外部メディア経由でデータのやり取りをしていることも考えられる

インシデントを防止、軽減するためにも自組織の部門間、同業他社、業界を超えた協力が不可欠

46

セキュリティに関して何かございましたら、JPCERT/CCまでご一報ください！


お問合せ、インシデント対応のご依頼は

JPCERTコーディネーションセンター

— Email：[email protected]

— Tel：03-3518-4600

— https://www.jpcert.or.jp/

インシデント報告


— https://www.jpcert.or.jp/form/

制御システムインシデントの報告


— https://www.jpcert.or.jp/ics/ics-form.html

mailto:[email protected]

mailto:[email protected]


ご静聴ありがとうございました

Documents

制御システムに関する最近の脅威と - MSCS 2018mscs2018.sice-ctrl.jp › program › _tutorials › mscs2018tutorial_abe.pdf · ics-certインシデント統計 ics-certのインシデント統計によると、インシデント報告は増加傾向にある