我が国の重要インフラは、敵国、テロリスト集団、あるいはありふれたサイバー犯罪者にとってさえ魅力的な標的であり、多くのセキュリティ専門家は、サイバー攻撃に対する防御体制が脆弱だと考えています。米国の重要インフラの多くを管理・制御するSCADAシステムは、セキュリティを考慮して設計されておらず、インターネット接続された世界を想定して設計されていません。
SCADAシステムは、攻撃が成功すれば国家を機能不全に陥れる可能性があるため、非常に魅力的です。イランの原子力発電所を標的としたStuxnetワームには、プラントの運用に使用されるPLC(プログラマブル・ロジック・コントローラー)デバイスの制御と動作を乗っ取るルートキットが含まれていました。
ウォール・ストリート・ジャーナルの記事で、元ホワイトハウスサイバーセキュリティ顧問のリチャード・クラーク氏は、中国が米国の電力網を積極的に探り、ハッキングしている証拠があると警告している。クラーク氏は、「電力網の制御に侵入する唯一の目的は、米国経済の基盤にダメージを与えることで、米国の軍事的優位性に対抗することだ。中国の軍事戦略家たちは、この方法で中国のような国が軍事的に優位な米国と対等な立場を獲得できる可能性について論じている」と指摘している。
AlgoSecのCTOであるAvishai博士は最近、SCADAシステムが直面している課題についていくつか議論しました。Avishai博士は、「昔は『分離されたネットワーク』という前提で作業していました。ネットワークは非常にシンプルな通信プロトコルとシリアル回線で動作していました。」と述べています。
アヴィシャイ氏は、SCADAネットワークはセキュリティを考慮して設計されておらず、正当なリクエストと悪意のあるレスポンスを区別できないと説明しています。SCADAシステムは従来、隔離されたネットワーク上に構築されており、攻撃者はまず標的の施設に物理的にアクセスする必要があります。
「SCADA システムをハッキングするには、もはや物理的なアクセスは必要ありません。ネットワーク接続、パケットをロジック コントローラーにルーティングする方法、トラフィック フィルターをバイパスする方法があれば十分です。これらはすべてハッカーが理解しているアクティビティです」と Avishai 氏は断言します。
ESET の技術教育ディレクターのランディ・エイブラムス氏は、SCADA システムに弱点があることには同意するが、ネットワークの背後にいる人間とソーシャル エンジニアリング攻撃こそが真の弱点であると考えている。
エイブラムス氏によると、2つの非常に重要な人的要因が影響している。1つ目は、アヴィシャイ博士が指摘したように、SCADAシステムはインターネットに接続されていないため、何らかの形で保護されているという誤った思い込みである。この「隠蔽によるセキュリティ」という誤った思い込みは、これらのシステムをリスクにさらしてしまう。
「もう一つの人的要因はソーシャルエンジニアリングです」とエイブラムス氏は言います。「私たちは、軍事システムや民間企業のシステムへの侵入をもたらしたスピアフィッシング攻撃を数え切れないほど目にしてきました。最近、米国と韓国の高官、ジャーナリスト、反体制派を標的としたスピアフィッシング攻撃が明らかになり、Gmailアカウントのパスワードが漏洩した事件は、フィッシング攻撃やソーシャルエンジニアリング全般の本質について、人々がいかに理解していないかを如実に示しています。」
重要インフラと呼ばれるのには理由があります。それは、私たちの社会と経済が機能するために不可欠なインフラだからです。SCADAシステム自体に内在するセキュリティ上の欠陥と、人間の本質的な弱点、そしてソーシャルエンジニアリング攻撃に対する脆弱性が組み合わさると、災害を引き起こす可能性が高まります。
