2020/2/10
産業制御システムセキュリティのいま。そしてこれから(4)
大日本印刷株式会社 ABセンターは、サイバーセキュリティ分野で著名なイスラエルVDOO社のソリューションを提供し、「ソースコードではなくバイナリコードだけでここまでわかるのか」と大きな反響を得ている。そのサービスの実力を、担当者に聞いた。
|
|---|
大日本印刷株式会社
ABセンターコミュニケーション開発本部
サイバーセキュリティ事業推進ユニット
主席研究員
半田 富己男
Fukio Handa
※所属・肩書などは、2019年10月取材時のものです。
IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
重要なインフラを止める、システムをダウンさせる、誤作動させる
ーーIoT、IIoT(インダストリアルIoT)の分野の機器が攻撃された事例にはどのようなものがありますか。
半田:最も大規模なものでは、ルーターやゲートウェイが乗っ取られて攻撃に使われた例があります。2018年にVPNFilterというマルウェアに世界中の50万台以上のデバイスが感染し、ウクライナにある塩素を抽出する工場では、ルーターを中心に多大な攻撃を受けました。※1IIoTの分野でもこういったマルウェアは広く認識されています。そのほかには、オーストリアのホテルの電子錠(スマートロック)が攻撃されて利用者が閉じ込められるなど、フィンランドでファームウェアが攻撃されて真冬にセントラルヒーティングシステムがダウンしたという事例があります。
ーーVPNFilterとは、どのようなマルウェアですか。
半田:産業制御機器に潜り込み、攻撃者がインターネット上に設置したC&Cサーバーからコントロールして、そこにつながっている機器や流れている情報を盗み出すものです。自分が調べられていることがわかると自分で自分を消してしまうキルスイッチを持っているものもありますし、いったん感染するとそのデバイスを工場出荷状態までリセットするしかないなど、非常に悪質です。
ーー攻撃者の正体や、その目的は判明しているのでしょうか。
半田:攻撃者は特定されていません。ただし、マルウェアのコードを分析すると、有名なロシアのハッカー集団であるファンシーベア、あるいはそれに近いグループが作っているコードと似ていることはわかっています。コードはブラックマーケットに出回っているので、もちろん、まったく関係の無い組織が流用した可能性はあります。
ーーVPNFilterは情報を盗み取るだけということですが、そうすると、工場内で動いている機械やプロトコルを調べた後に、また別の攻撃があるのでしょうか。
半田:入手した情報を使って、より大きな攻撃を次々と仕掛けてくる可能性があります。例えば、何か重要なインフラを止める、システムをダウンさせる、誤作動させるなどです。
ーー日本で、IoT機器が攻撃を受けた事例を教えてください。
半田:有名なのはMiraiという2016年に現れたマルウェアで、ネットワークカメラなどが乗っ取られてDDoS攻撃の踏み台にされました。そのときはDyn社という大きなDNSサービスが攻撃されたために、複数の有名なインターネットサービスが影響を受けて止まってしまいました。このMiraiのソースコードもブラックマーケットに出回っていて、派生したコードが次々に出てきています。結果、いまでもMirai系のマルウェアによる攻撃は続いています。
|
IoTデバイス数とIoTデバイスのマルウェア感染数(Research by VDOO security experts) |
攻撃に対抗する4つのVDOOソリューション
ーーIoT機器の脆弱性に対するソリューション「VDOO」について具体的に教えてください。
半田:VDOOはイスラエルのスタートアップ企業の社名
※2
であり、そこが開発するIoT機器向けサービスシリーズの名前でもあります。サービスは4つあり、基本的にクラウドで提供されます。
まず、代表的なサービスの「VDOO Vision(以下、Vision)」は、機器の脆弱性を自動分析してレポートするサービスです。具体的な流れとしては、お客さまに、IoT機器やIIoT機器を動かすファームウェアを、DNPが運営するVDOOサービスのクラウドにアップロードしていただきます。Visionはそれを分析して、ソフトウェアやハードウェアの構成を調べ、デバイスに必要なセキュリティ機能が何であるか、対策できているか、組み込まれているサードパーティやオープンソースのライブラリに既知の脆弱性があるか、あるならばCVE(脆弱性情報データベース)の番号はいくつかといった情報を提供します。
これによって、組み込みデバイスの開発者が、開発中の製品について、セキュリティがどこまで必要か、対応できていないものがあるか、あるとすればどのように修正すべきかといったことを調べられます。特徴は、ソースコードをアップロードする必要がないことです。コンパイルしてビルドしたバイナリのコードだけで分析できます。
ーーVisionはファームウェア専用ですか。アプリケーションや、Windowsで作られているPOSのシステムなどはどうでしょうか。
半田:アプリケーション単体ではなく、OSと合わせてまるごと分析することになります。OSの種類は、Linuxベース、Androidベース、リアルタイムOSではFreeRTOSに対応しています。Windows系については将来対応していく予定です。
ーーもう1つの主力製品、「VDOO ERA(以下、ERA)」について教えてください。
半田:Visionは開発中の製品を分析するものですが、ERAは、すでに発売して市場に流通している製品や、リリース直前ですべてを修正している時間がないような製品のためのサービスです。具体的には、デバイスにファームウェアと一緒に組み込んでいただいてセキュリティを守る、エージェントと呼ばれるソフトウェアを自動生成するサービスです。
ERAの特徴は、非常に小さなエージェントを生成できることであり、その動作が軽いことです。対象機器のファームウェアをあらかじめVisionで分析して、機器に合わせたエージェントを生成しているから、小さなエージェントを生成できます。もともとターゲットはIoT機器ですから、デバイスのCPUやメモリといったリソースは豊富ではありません。エージェントを乗せたことで動きが遅くなってしまっては本来の機能を十分に使えなくなってしまいますが、ERAが生成したエージェントであればそういうことはまずないでしょう。
特徴にはもう1つ、あらかじめVisionで分析した際に、本来あるべき正しいファイルやプロセスがホワイトリスト化されることです。これによって、ホワイトリストになかったファイルやプロセスを検知して止めることができます。もしも感染して攻撃者のC&Cサーバーに接続しようとしても、ネットワーク構成が変わったことを検知できます。また、近年は、暗号資産や仮想通貨を取り出すマイニングという作業を、他人のコンピューターやIoT機器に勝手に実行させるタイプのマルウェアがあります。マイニングは大きな負荷がかかるものですが、ERAはリソースの使用量をモニタリングしているので、指定したしきい値を超えたときに警告することができます。
ーーほかにも2つのサービスがありますね。「VDOO CertIoT(以下、CertIoT)」から教えてください。
半田:CertIoTは、Visionの延長線にあるサービスです。Visionで分析した結果、セキュリティ上の問題がなかったと判断されたデバイスを対象に、VDOO社としてサーティファイ、つまりお墨付きを与えるというものです。CertIoTは認証の証書を発行するだけでなく、電子的にも認証情報サーティファイ情報を発行します。これを使って、相手の機器が認証済みかどうかを調べられます。
ーー4つめ、「VDOO Quicksand(以下、Quicksand)」はどのような製品でしょうか。
半田:Quicksandは、ERAと同様に、デバイスに搭載するエージェントです。ERAの目的は攻撃を防ぐものでしたが、Quickstandは情報収集のためのハニーポット※3です。自らがわざと標的となり、攻撃を受けたらその情報をクラウド上の管理サーバーへ送ります。厳密にいうとQuicksandには2種類あって、デバイスを堅牢化せずにエージェントを搭載した「Bot」と、必要なパッチを当てるなどして堅牢化を行った上にエージェントを搭載させた「Zero」があります。
Botは既知の脆弱性を利用した攻撃を、Zeroはゼロデイ攻撃を特定するものです。開発向けの使用目的としては、製品の開発中に情報収集と対策を行えることがあります。例えば、ある監視カメラのメーカーが北米地域で製品を売り出そうと企画したとします。その製品にQuicksandを組み込んで実際に北米地域に設置すると、どのような攻撃にさらされるのかという情報を実際のネットワーク上で出荷前に集めて、開発に反映させることができます。
ーーこのような製品を展開するVDOO社の歴史はどのようなものですか。
半田:VDOO社の設立は2017年ですが、実はそのファウンダーは以前よりEDR(EndpointDetection and Response)という、コンピューターやサーバーにインストールしてマルウェアの攻撃を検知するタイプの有名なツールを開発していたメンバーです。そこからスピンアウトしたのがこのVDOO社なのです。VDOO社には、元々EDR製品の開発に関わっていたメンバーに加えて、イスラエル防衛軍で組み込み系を専門にしていたメンバーも参加しているので、深い知見を持っているといえます。
バイナリコードだけでここまでわかる
ーーVDOO製品全体として、お客さまからの反応はいかがですか。
半田:Visionで作成できるレポートをご説明しますと、バイナリコードだけでここまでわかるのかと大変驚かれます。ERAについても、すでに大量に出回っている製品に搭載したい、自社の製品でも動くのか確かめたいという反応をいただいています。
ーーVDOOは工場で使われるようなIoT、IIoTの機器にも利用できますか。
半田:工場系IIoTでは、ネットワーク機器などに使われることが多いです。ほかにも、工場のラインで動いているロボットや、そこに組み込まれているファームウェアを診断したいという引き合いをいただいています。
ーー今後どのような展開を考えていますか。
半田:VDOOは今後、監視カメラやルーターだけではなく、工場内、産業制御といった、IIoTの分野でも採用が進むと考えています。また、イスラエルだけでなく、ヨーロッパやアメリカも含めて、セキュリティ対策の新しい技術を見つけていく必要があると思います。医療機器や介護系ロボットへの展開も考えています。
|
|
- ※1 参考URL:https://www.scmagazine.com/home/security-news/government-and-defense/ukraine-accuses-russia-of-vpnfilter-attack-targeting-chlorine-distillation-station/
-
※2
VDOO社:VDOO Connected Trust社
-
※3
ハニーポット:故意的に脆弱性を持つことでおとりとなり、わざと攻撃の対象となることで、攻撃の手法や傾向などの情報を収集するシステム。
関連コンテンツ
産業制御システムセキュリティのいま。そしてこれから
日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(前編)
日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(後編)
装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには
どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること
情報セキュリティコラム一覧
https://www.dnp.co.jp/biz/theme/security/index.html
