マルウェアが工場を止める
――もはや他人事ではないOTを巡る脅威

DNPセキュリティ連載コラム【工場ゼロトラスト】全5回シリーズ。
第1回は、『マルウェアが工場を止める――もはや他人事ではないOTを巡る脅威』をお届けします。

DNPセキュリティコラム　工場ゼロトラスト　第1回

【工場ゼロトラスト】全5回シリーズ
第1回：マルウェアが工場を止める――もはや他人事ではないOTを巡る脅威

製造業にとって何より大事なのは、工場を予定通りに動かし、安定して製品を供給していくことでしょう。しかし世の中には、サプライチェーンの不安定さや人手不足など、安定稼働を妨げるさまざまなリスクがあります。そして、工場のスマート化やデジタル化とともに、考慮すべきリスクがサイバー攻撃です。

サイバー攻撃というと、マルウェア感染や情報漏洩といったキーワードが頭に浮かぶ方が多いのではないでしょうか。こうした事故はもちろん大変なことなのですが、「工場の稼働には別に関係ないのでは？」と思われるかもしれません。しかし実際には、マルウェア拡散や不正アクセスなどによって工場、具体的には生産ラインを制御するOperational Technology（OT）ネットワークに悪影響を与え、生産ラインの停止に追い込まれる最悪の事例も増えています。DNP 情報イノベーション事業部PFサービスセンターセキュリティソリューション本部主幹企画員の佐藤俊介に、その実情を聞きました。

「マルウェアが工場を止める」は空想ではなく現実の脅威に

――多くの企業で、ランサムウェア感染や情報漏洩といったさまざまなセキュリティ事故が起きています。ネットワーク分離されている施設が多いとはいえ、工場のセキュリティに死角はないのでしょうか？

佐藤：残念ながら、工場、いわゆるOTの世界も脅威とは無縁ではありません。人手不足解消や生産性の向上を目的に、工場でもデジタルトランスフォーメーション（DX）を進め、いわゆる「スマート工場」を実現しようとする動きが活発ですが、それとともにサイバー攻撃の脅威は、現実のものになってきています。

例えばトレンドマイクロが2020年11月から12月にかけて日本、アメリカ、ドイツで実施した調査（「スマートファクトリーにおけるセキュリティの実態調査」）によると、過去1年間でマルウェア感染やシステムへの不正アクセスといったセキュリティ上の事故を経験した回答者は、全体の61.2％に上りました。そのうち、製造業にとっては最も避けたい「操業停止」「生産停止」につながったとする比率は74.5％にもなっています。さらに43.4%が4日以上にわたって生産システムが停止したそうです。

この調査からは、OTネットワークのセキュリティ対策が年々巧妙化する攻撃に追い付いていない状況が見て取れます。スマート工場化に向けた動きが加速する中で、セキュリティ対策については本社（IT部門）と工場（OT部門）の役割分担がはっきりしておらず、それが対策の遅れにつながっている傾向もあるように思います。

身代金は億単位に膨らみ、テスラなど大手企業もターゲットに

佐藤：工場がサイバー攻撃の影響を受けた事例は、実はかなり昔からあります。古くは2010年の「Stuxnet（スタクスネット）」が有名です。イランの核燃料施設内にマルウェアを含むUSBメモリが持ち込まれたため、産業用制御システムがマルウェア感染し、核燃料の遠心分離機を稼働不能にしたと言われる事件です。多くの工場では、インターネットやITネットワークとは直接接続しないように設計し、「エアギャップ」を設けた閉域網になっているかと思いますが、攻撃者はそのことを熟知しており、その上で「エアギャップ」の内側に入ろうと試みたことが明るみに出ました。

2020年から2021年にかけてはランサムウェア感染の報告が非常に増えており、セキュリティ対策がしっかりしているはずの大企業や重要インフラ系の企業も被害を受けています。工場の生産が停止する事例や、盗まれた個人情報が、特殊なソフトウェアを使わないとアクセスできない「ダークウェブ」のリークサイト上で、暗号化されたファイルを元に戻す復号鍵を渡す、漏洩したデータを公開しないことを引き換え条件として、暗号通貨（身代金）を要求されるといった被害が多発しています。

皆さんがご存じの電気自動車メーカーであるテスラに対する2020年8月の攻撃も印象的です。ロシアのスパイがテスラの従業員に対し「ネバダ州の工場システムにランサムウェアを仕掛けてくれれば、報酬として100万ドルを支払う」と持ちかけました。幸い従業員がFBIのおとり捜査に協力したので、攻撃は実行に移されることなく終わりました。ですがこれは内部犯行による脅威を感じさせる非常に恐ろしい事件です。ランサムウェア感染を拡大させ工場の生産を停止できれば数億円、数十億円の身代金が手に入る可能性があるため、攻撃者は内部協力者に大金を支払っても十分に見合う状況でした。テスラCEOのイーロン・マスク氏がTwitterで「これは深刻な攻撃だった」と評したように、ランサムウェアは外部のネットワークからだけではなく、内部からも侵入してくる時代になりつつあります。

ランサムウェア攻撃による被害の例　テスラ社

（ランサムウェア攻撃による被害の例　テスラ社）

佐藤：もう一つ紹介したいのは、アメリカの石油パイプライン大手であるColonial Pipeline（コロニアル・パイプライン）への高度なサイバー攻撃です。同社はランサムウェアの攻撃を受け、被害拡大を防ぐために予防措置としてOTネットワークを一時停止して復旧に努めました。しかし復旧には時間を要し、一部の州でガソリン供給に影響が生じ、ガソリンスタンドに行列ができるなど、社会的に大きな影響が生じてしまいました。IT化が進み、IT部門の生産管理システムと、工場のOTシステムが密接に連携するようになった結果、ITネットワークがランサムウェアに感染するとOTネットワークも深刻な影響を受けてしまう可能性があることを如実に示した例と言えるでしょう。

ランサムウェア攻撃による被害の例　コロニアル・パイプライン社

（ランサムウェア攻撃による被害の例　コロニアル・パイプライン社）

――海外の事例が目立ちますね。日本国内は安全ということでしょうか？

佐藤：いえ、ただ公になっていないだけで、日本でも被害は発生しています。被害が大きく報じられた事例は、例えば2017年に猛威を振るった「WannaCry（ワナクライ）」により国内大手自動車メーカーやそのほかの製造業で工場の操業停止に至った事例や、2020年に「EKANS（エカンズ）」により国内大手自動車メーカーが工場の操業を停止した事例などあまり多くはありませんが、前述のトレンドマイクロの調査が示すとおり、水面下ではかなり多くの企業が被害を受けていて「うまく隠している」のだと思います。

工場と攻撃者、それぞれの変化が攻撃激化の要因に

――なぜサイバー攻撃が工場の稼働そのものに影響を与え始めているのでしょうか？

佐藤：背景には企業側と攻撃者側、それぞれの変化があると考えられます。企業はこれまで、ITとOTで工場のネットワークを分離し、エアギャップを設けるという閉域網を基本としたセキュリティ対策をしてきました。工場はインターネットには直接接続していないから安全だ、という考え方です。

しかし、スマート工場化に伴うリモートメンテナンスの実装や、より効率を上げたいといった現場のニーズから、工場は今、クラウドなどを含めて外部といろいろなところでつながるようになってきています。閉域網だから安全という従来の前提が崩れ、セキュリティ対策の検討が不十分、責任分界点があいまい、あるいは設定ミスといった要因も相重なって、攻撃を受ける恐れのある脆弱なポイントがいくつも生まれています。

同時に、攻撃者側にも変化が起こっています。サイバー攻撃には国家の支援を受けた高度な攻撃やいたずら半分の攻撃もありますが、いま一番怖いのは金銭目的のランサムウェア（サイバー）攻撃です。製造業のビジネスの中核である工場は、攻撃者にとって格好の標的となっています。これは工場の生産を復旧させるために高額な身代金を支払うという、苦渋の選択をする経営層が多いことも影響しています。事実、海外では億単位の身代金を支払ってしまった事例も度々報じられています。こうした背景にはサイバー犯罪者たちの分業化、専門化が進み、より簡単により高度な攻撃が可能になっていることも、昨今の状況を後押ししていると思います。

こうしたことから、もはやOTネットワークを狙うサイバー攻撃は対岸の火事ではなく、しっかりとした対策を考えるべき時期にきていると言えるでしょう。
（了）