ケビン・フィニステレは、原子力発電所で見かけるような人物ではない。ビーチボールほどのアフロヘアにアビエイターサングラス、そして自称「威風堂々とした」風貌の彼は、電気技師というより、70年代のテレビ番組「ザ・モッド・スクワッド」のクラレンス・ウィリアムズを彷彿とさせる。
しかし、従来の型にはまらないエンジニアであるフィニステレ氏のような人材は、世界の主要産業システムを動かす機械をロックダウンする取り組みにおいて、ますます重要な役割を果たしている。フィニステレ氏はホワイトハットハッカーである。彼はコンピュータシステムを徹底的に調査するが、侵入するためではなく、重要な脆弱性を発見するためだ。そして、セキュリティ強化を目指す企業にその専門知識を販売している。
能力について興味がある
2年前、セキュリティーテスト会社デジタル・ミュニションの創業者フィニステレ氏は、アイダホ国立研究所の制御システムセキュリティープログラムの職員と電子メールを交換していた。このプログラムは米国国土安全保障省が資金提供しているプロジェクトで、国の重要インフラに対するサイバー攻撃に対する最前線の防衛線となっている。
フィニステレ氏は2008年、産業用制御環境の運用に使用されるCitectSCADAソフトウェアのバグを悪用した攻撃コードを公開し、INLの注目を集めました。ベンダーやプラントオペレーターがシステムへの攻撃に備えるための支援を行うINLのプログラムについて耳にしていた彼は、INLの実力を知るために連絡を取ってみようと考えました。
彼は感心しなかった。
INLはすでにハッカーコミュニティと連携しているのだろうか?フィニステレ氏はそのことを知りたがった。すると、不快な返答が返ってきた。「ハッカー」という言葉は「疑わしい、あるいは犯罪的な性質」を持つ人物を指し、「国立研究所では雇用できない」とINL職員はメールで答えたのだ。
「彼は基本的に、INLはハッカーと関わりを持たないから、その言葉を使うのは慎重にすべきだと説教したんです」とフィニステレは振り返る。「私は『おい、冗談であってほしい。君はこの分野の研究の最前線にいるはずだから』と思ったんです」
これを、2つの世界間の文化衝突における初期の小競り合いと呼んでもいいだろう。1つは、マイクロソフトやアドビなどのハイテク企業との取引に慣れ、ハッカーの精神を受け入れることを学んだ独立系セキュリティ研究者であり、もう1つは、産業用制御システムを開発およびテストする、より保守的な企業である。後者は、ホワイトハットハッカーがいなくなることを望んでいるかのように行動することが多い。
今年初め、コンサルティング会社NSSLabsのセキュリティ研究者、ディロン・ベレスフォード氏は、シーメンスのプログラマブル・ロジック・コントローラー(PLC)に複数の欠陥を発見した。ベレスフォード氏は、INLが運営する米国国土安全保障省の産業制御システム・サイバー緊急対応チーム(ICSC)については不満を述べていなかった。しかし、ベレスフォード氏は、シーメンスが自ら発見した問題を軽視したことで顧客に不利益をもたらしたと指摘した。「彼らの対応には満足していない」とベレスフォード氏は今年初めに述べた。「彼らは十分な情報を国民に提供していなかった」
虫を捕まえる
ICS-CERTは、ベレスフォードとフィニステレが現在容易に発見しているような種類のバグに対処するために2年前に設立されました。制御システムセキュリティプログラムのディレクターであり、ICS-CERTの責任者でもあるマーティ・エドワーズ氏によると、ICS-CERTに寄せられるインシデント件数は、過去数年間で数十件から数百件へと6倍に増加しています。
「このような増加が見られる理由は、率直に言って、SCADAや産業用制御システムが注目されるようになったからです」と彼は述べた。「Stuxnetのような事例によって、産業用制御システムや重要インフラシステムへの注目度が高まっています。」
多くのハッカーにとって、産業システムは技術探究における新たなフロンティアです。しかし、PCが主な標的となる以前の、ハッキング黎明期への回帰とも言えるハッカーもいます。フィニステレ氏は、オハイオ州シドニーの小さな町で育った頃、電話システムに着目しました。「90年代初頭、母は私が家の電話をいじっていると思ったのですが、実は誰かが遠隔操作で電話交換機を操作していたことが判明しました。最終的に私は、電話会社から『息子さんが何か不正請求を起こしているに違いない』という主張に母が反論できるよう、協力することにしました」と彼は語ります。
20年近く経ち、プロのセキュリティ研究者となった彼は、ありふれたソフトウェアのバグに飽き飽きし、産業用システムに目を向けました。それが、CitecSCADAの脆弱性を発見する仕事へと繋がったのです。「まるで高校時代に戻ったような気分でした」と彼は言います。
彼だけではない兆候があり、攻撃の扉が今にも開きそうだ。ICS-CERTは現在約50件の既知の問題に取り組んでいるが、商業部門の研究者2人はさらに数百件の問題を発見したと述べている。中には重要ではないものもあるかもしれないが、深刻な問題となる可能性のあるものもある。(「倫理的なハッカーが暴露した小さな汚れた秘密」も参照。)
欠陥を見つける
グーグルのセキュリティグループのチームリーダー、ビリー・リオス氏と、ボーイングの情報セキュリティレッドチームのメンバー、テリー・マコークル氏は2月に一緒にお酒を飲んでいた際、フィニステレ氏らがハッキングしてきた産業用ソフトウェアの種類を詳しく調べることにした。彼らはどれだけのバグを見つけられるかを試したかったのだ。
彼らは余暇を利用して、シーメンス、ロックウェル・オートメーション、アイコニックスなどのベンダーから、できる限り多くの産業用ソフトウェアパッケージをダウンロードしました。合計で約400種類にも上りました。これらはすべてインターネットで無料で入手できました。彼らは100日間で100個のバグを見つけるという目標を設定しました。しかし、見つかったバグは非常に豊富で、3週間で目標を達成しました。「私たちは、所有していたすべてのソフトウェアを調べようとはしませんでした。ましてや、それに近づくことなどできませんでした」とマコークル氏は言います。
最終的に、サーバーソフトウェア、ドライバーパッケージ、そして工場の現場にある機械の管理に使用されるWindowsベースのHMI(ヒューマンマシンインターフェース)ソフトウェアに665件の脆弱性が見つかりました。リオス氏とマコークル氏は、発見したバグの大半を「重大ではない」と評価していますが、そのうち約75件は犯罪者が産業システムに損害を与えるために悪用する可能性があると述べています。「私たちが特定した脆弱性のカテゴリーは一つではなく、あらゆるところに存在していました」とリオス氏は述べました。
「基本的に、時間をかけて仕組みを理解すれば、誰でもできます」とリオス氏は付け加えた。「あちこちにバグが見つかるようなものではありません。ただ、時間をかけて取り組めば、驚くほど素晴らしい結果が得られるのです。」
新たな圧力
ICS-CERTの責任者であるエドワーズ氏は、2009年の発足以来、同グループの作業量が爆発的に増加したことを認めた。「ICS-CERTを通じて調整・対応された脆弱性の数は600%増加しました」と彼は述べた。産業用制御システムの魅力により、より多くの研究者がこの分野に注目していると彼は述べた。
マコークル氏は、この状況は10年前、ハッカーがマイクロソフト製品を攻撃し始めたWindowsの状況を彷彿とさせると述べた。「産業ベンダーはセキュリティ対策において、基本的に10年遅れている。まるで90年代に逆戻りしているようだ」と同氏は述べた。
1990年代後半、研究者たちが初めてマイクロソフトに目を向けた時、同社は不意を突かれた。レドモンドと、同社のソフトウェアを攻撃するハッカーたちとの数年間にわたる対立を経て、マイクロソフトはようやくハッカーと協力する方法を見出しました。
研究者たちは、発見した問題が無視されることにうんざりし、Microsoftにパッチをリリースさせるために技術的な詳細を公開し始めました。産業システムでこのようなパターンが繰り返されるという考えは憂慮すべきものです。産業システムでは、セキュリティ上の欠陥が化学物質の流出や広範囲にわたる停電につながる可能性があり、パッチのスケジュール設定と適用に数ヶ月かかることもあります。
今週、ルイジ・アウリエマという研究者が、工業製品における4つの新たな脆弱性に関する詳細情報を公開し、ICS-CERTチームを混乱に陥れました。アウリエマは昨年、既に同様の情報を複数回公開していました。ミラノ在住の独立系研究者であるアウリエマは、技術的な詳細情報を公開することが、問題を解決する最も迅速な方法だと考えています。「この問題に注目を集めるには、完全な情報開示が最善の方法です」と、インスタントメッセージでのインタビューで彼は述べました。
フィニステレ氏がCitecコードを公開した当時、制御システムセキュリティプログラムに勤務していた元INL職員の一人は、初期には問題があったと語る。「数年前、産業用制御システムの脆弱性がいくつか表面化した時点で、産業界はすでに『ハッカー』文化との困難な関係を経験していました」と、産業システムの脅威を調査するアイダホ州企業、クリティカル・インテリジェンスの共同創業者であるロバート・フーバー氏は語る。「当時、ベンダーはこうした脆弱性の暴露に全く備えていなかったのです」と、同氏は電子メールでのインタビューで語った。
しかし、フーバー氏は状況は改善しつつあると考えている。「多くのセキュリティ研究者は、ベンダーと協力したり、仲介者を通して脆弱性を公開してきました」と彼は述べた。「とはいえ、その数と関心の高さゆえに、より多くの研究者が情報公開プロセスを踏まずに名を上げようとこの分野に参入し、結果として、調整されない脆弱性がさらに増える可能性があります。」
「時間が経てば分かるだろう」と彼は言った。
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
