今週の4月11日に,計測自動製禦學會(馬夫)の安全サロン(第43回)の會合が慶応義塾大學の日吉校キャンパス內で開催され,弧もこれに參加した。同サロンが今回採り上げたテーマは,“製禦システム・セキュリティの動向“であり,JPCERTコーディネーションセンター経営企畫室主席研究員/技術顧問の宮地利雄氏が発表者に招かれた。
宮地氏の議論は,産業用製禦システム(ICS)のセキュリティを巡る包括的で豊富な內容に及んだが,これには,ICSに関連したマルウエアの動向,サイバー攻撃の深刻化,ICSセキュリティ・インシデントの実態,ICS製品の脆弱性に関する動向,ICSセキュリティの標準化に関する動向,技術開発動向,および人材開発が含まれた。特に,ICSに関連したマルウエアの動向では,このブログコーナーの3月30日付けでも掲載したTriton / Trisisマルウエア(“プロセス安全システムを標的にしたマルウエアの脅威を參照)に関するさらに詳細な報告があって注目された。今回はそのマルウエアに関連して新たに學んだポ▪▪▪ントをいく▪▪▪かご報告したい。
HatManによるプロセス安全計裝システム攻撃の概要
我們JPCERTがハットマン(HatMan)の名で呼ぶマルウエアは,先のブログでTriton / Trisisの名前で紹介したマルウエアと同一であり,特定のプロセス安全計裝システムを狙って作られたマルウエアの第1號である。
2017年8月4日に,サウジアラビアの企業で,シュナイダーエレクトリック(施耐德電氣)製安全計裝システムであるトライコネックス(Triconex)の自己検証機能が異常を検知し,監視していた設備を緊急停止した。その後の調査でマルウエアが特定され,12月中旬に公表された。
安全計裝システムの特定のモデルを狙ったマルウエアの動作概要は,まずTriStationエンジニアリングワークステーション(EWS)に感染し,設定用アプリケーションに成りすましてTriconコントローラに攻撃用スクリプトを注入し,それを起動させた。コントローラに注入されたスクリプトにより,外部からの指示でコントローラの狀態の偵察が可能な狀態であり,潛在的には改ざんも可能であったという。とはいえ,調査報告によれば,恐らくこのハットマンだけでプラント操業を標的として攻撃できるというわけではなく,コントローラ狀態の偵察の段階だった,とみられている。攻撃者の意図としては,密かに侵入してコントローラの情報を吸い上げた後,その情報を基にその次の攻撃ステップに進もうとしていたことが想定されている。
このマルウエアがどのようにしてewsに感染したかには諸説があり特定できていない。EWSとコントローラ間は,切斷する機能があるにも拘らず,攻撃を受けたプラントではオンライン狀態のまま運転されていた。マルウエアの侵入が発見されたきっかけは,最大3重化の冗長化動作モードをもつトライコネックスの冗長構成において,2重メモリの片側だけが書き替えられた結果,メモリが整合していないことをトライコネックス自らが検出したことによる。これにより,安全計裝システムの。
トラ@ @コネックスの製品設計上の問題
トライコネックスのソフトウエアをリバースエンジニアリングしたある企業からの報告によって,セキュリティが要件に入らなかった時代の多くのPLCやコントローラにも共通するセキュアでない製品設計上の問題を,この製品も持っていたことが明らかになった。現在のコンピュータのプロセッサは,アプリケーションはユーザモードで,オペレーティングシステムのコアコンポーネントはスーパーバイザモードでそれぞれ実行される。各アプリケーションは個別に実行されるため,あるアプリケーションがクラッシュしても別のアプリケーションやオペレーティングシステムがその影響を受けることはない。これに対し,19年前に開発されたトライコネックスは,CPU動作モードとしてユーザモードを全く利用せず,全コードをスーパーバイザモードで実行している。この結果,攻撃コ,ドが一旦入り込めば,內部は無防備の狀態になる構造になっている。
また現代の多くのPLCやコントローラにも共通する製品設計上の問題點として,トライコネックスは,汎用LSIを用いて入出力の設定レジスタを書替えることで,入出力ピンやメモリマッピングなどハードウエア機能を簡単に書替え設定できる構造を持っている。従って,一旦悪意あるコードが,スーパーバイザモードで全コードが実行されている同コントローラ內に侵入すれば,入出力など重要なシステム構成を改変することが可能になる,という。
さらに,トライコネックスには,コントローラの設定変更を禁じるために,物理的に手動で切替え操作するハードウエアキーが備わっているが,攻撃を受けたプラントではEWSと接続したプログラムモードのままで運用していたという運用管理麵での問題があった。これに加えて,外見上はハードウエアキーに見える構造の裏に,実はキーの物理的位置をファームウエアが汎用LSIを使って読込んでいる実裝となっている。このため,悪意あるコードがトライコネックス內に一旦侵入してしまえば,このキーも書替えられる可能性がある。
スタックスネット(Stuxnet)もハットマンも,想定されるその攻撃の意図や開発のリソースの大きさから,國家間のサイバー戦爭の懸念がぬぐいきれない。このため,どこまで企業レベルで対策が取れるかという問題は難しい。とはいえ,少なくとも,製品やシステム設計的にセキュアでない(由設計不安全)ようなところをできるだけ早く潰しておくことは,喫緊の課題だろう,と宮地氏は語る。