今週ラスベガスで開催されたハッカーカンファレンス「Black Hat」開幕前夜、セキュリティ研究者のディロン・ベレスフォード氏は、シーザーズ・パレスの自室で少人数の聴衆を前にデモンストレーションを行った。テーマは、数万もの産業施設でエンジン、機械、タービンの制御に使用されているシーメンスS7コンピューターを、ハッカーがどのように乗っ取るかという点だった。
これは水曜日に予定されていた講演の予告であり、ベレスフォード氏は、会場に集まった少数の記者、業界関係者、そして政府関係者にようやく話せることに、緊張と安堵が入り混じった様子だった。数ヶ月前までは、自身の研究結果を公表できる時期、あるいはそもそも公表できるのかどうかさえ不明だった。研究結果が悪用される可能性を懸念したベレスフォード氏は、シーメンス社が発見した問題を修正する時間を確保するため、以前の会議を欠席した。シーメンス社や米国国土安全保障省と数ヶ月にわたり協力し、発見した多くのバグに対する修正パッチを次々と調整してきた今でも、ベレスフォード氏は自分が知っていることをすべて話すことはできない。
しかし、彼がかなり多くのことを知っているのは明らかです。問題は、彼がどれだけのことを公表するのかということです。
NSS Labsの研究者は、S7のセキュリティ対策を回避し、コンピュータのメモリにデータを読み書きする方法を発見したと述べた。システムがパスワード保護を有効にしている場合でも可能だ。システムから機密情報を盗むことも可能だと彼は述べた。また、S7 300というモデルでは、シーメンスのエンジニアがシステムのファームウェアに残したと思われるコマンドシェルを発見し、これに接続してシステム上でコマンドを実行できるという。
少し調べた後、彼はハードコードされたユーザー名とパスワードを発見しました。これにより、システム上の Unix のようなシェル プログラムにアクセスでき、独自のコマンドを実行できます。ユーザー名: basisk、パスワード: basisk。
ベレスフォード氏は、このシェルはシステムへの「バックドア」であり、攻撃者によって悪用される可能性があると述べた。
彼は踊る猿も発見しました。この4匹の猿が踊るおどけたグラフィックは、どうやらイースターエッグ(ソフトウェア開発者版の落書きで、他のオタクが見つけられるように残しておいたもの)で、S7 300のファームウェアに埋め込まれていたようです。
デモは特に見るべきものではなかった。S7は緑色のLEDライトが付いた未来的な灰色の靴箱のようだった。ベレスフォードがタバコを吸いながらノートパソコンに入力すると、機械が一つずつ停止していく。しかし、それらの機械の一つ一つが核遠心分離機やエレベーターを動かしている可能性があることを考えると、デモは皆の注目を集めた。
火曜の夜、この部屋にいた政府関係者(米国国土安全保障省産業制御システム・サイバー緊急対応チームの契約社員)は、発言を引用されることを望まなかった。米国の電力供給の維持を支援する非営利団体、北米電力信頼性公社の職員、ティム・ロクシー氏も同様だった。
明らかに、両グループともベレスフォードの研究に興味を持っている。ベレスフォードがバックドアと踊る猿を発見したS7 300システムは、イランのナタンツ原子炉の遠心分離機を破壊したとされるスタックスネットワームの標的となったコンピュータと同じだ。
シーメンス、ロックウェル・オートメーション、ハネウェル・インターナショナルといった産業用コンピュータシステムのメーカーは、数十年にわたり、いわばバブル状態でした。彼らは、電気技師が工場の現場向けに改造したコンピュータシステムを構築していました。かつてこれらのシステムは、ネットワーク化された他の世界から切り離され、完全に独立して動作していましたが、徐々にWindowsコンピュータとネットワーク化されるようになりました。本来は物理的に外部から隔離されたネットワーク上で動作することが想定されていますが、これらのネットワークではルーターの設定ミスが発生する可能性があり、コンサルタントがラップトップを接続するたびに、ウイルスが蔓延する新たな機会が生まれます。
セキュリティコンサルティング会社Digital BondのCEO、デール・ピーターソン氏によると、問題はこれらの産業システムがセキュリティを考慮して構築されていなかったことだという。ピーターソン氏のような産業システムセキュリティの専門家は、少なくとも10年前からこうした問題が起こることを認識していたものの、十分な対策が講じられていなかった。「多くの分野で進歩はありましたが、これらのフィールドデバイスに関しては進歩が見られませんでした」とピーターソン氏は述べた。
同氏と他のセキュリティ専門家は、シーメンス社だけがこのような問題を抱えているわけではなく、すべての産業用制御システムがベレスフォード氏が発見したような種類のバグに悩まされていると述べている。
業界はシーメンスS7のようなマシンに強力な認証制御を追加し、信頼できるソースから提供されたコードのみを実行するようにすることも可能です。しかし、コンピューターを再起動すると発電所が1日間オフラインになるような世界では、それは容易ではありません。「起こりうる結果を考えると、業界では誰もこれを望んでいませんでした」とピーターソン氏は言います。
一方、Stuxnetが示したように、これらの産業システムに対するサイバー攻撃のリスクは非常に現実的です。そして、悪意のあるプログラムは常に工場の現場に潜んでいます。
2011年2月、2年前に発生したコンフィッカーワームがブラジルの発電所のシステムに感染したと、ここ数ヶ月、この問題の解決に取り組んでいるコンサルティング会社TI Safeのエグゼクティブディレクター、マルセロ・ブランキーニョ氏は述べている。エンジニアが感染を除去しても、ネットワーク上で再び現れることがしばしばあった。おそらく、見落としていた感染マシンによって拡散されたのだろう。「ブラジルのオートメーションプラントで確認されたコンフィッカー感染は、これが初めてではありません」と、同氏は電子メールでのインタビューで述べた。
ブランキーニョ氏は発電所名を明かさなかったが、感染は明らかに操業に支障をきたしていた。発電所の管理システムはフリーズし、現場からのデータが表示されない状態だった。そのため、オペレーターはコンピューターが普及する以前と同じように、無線を使って相互に通信しながらシステムを制御せざるを得なくなった。
もし、コンフィッカーに感染したマシンにベレスフォードが書いたタイプのソフトウェアが含まれていたなら、事態はさらに悪化していただろう。
研究者が産業システム関連のコードを公開するのは今回が初めてではないが、これまでの公開は、これらのシステムが使用するWindowsベースの管理コンソールに焦点を当てており、制御システム自体には焦点が当てられていなかった。ベレスフォード氏がエネルギー分野で広く使用されているS7 300をハッキングしたという事実は、彼の研究を独自のカテゴリーに分類している。
実のところ、ベレスフォード氏は自身が開発したソフトウェアをいつ公開するかまだ決めていない。オープンソースのハッキングツールキット「Metasploit」用に作成したモジュール(小さなプログラム)は15個あるが、シーメンスの顧客にシステムのパッチ適用のための時間を与えてからコードを公開したいと考えている。6ヶ月程度が適切な期間かもしれないと彼は言う。
コードが公開されれば、誰でも使えるようになる。しかしベレスフォード氏は、自分が公開しているのは、他の人々が長い間秘密に知っていた情報だけだと考えている。
デジタル・ボンドのピーターソン氏は、コードの公開こそが、業界がセキュリティ問題を最終的に解決するために必要なことかもしれないと述べている。「現時点では、やってみようという気持ちです」と彼は言った。「彼が悪意のある人たちに伝えようとしているのは、彼らが既に知っていることばかりですから。」
スタックスネットの謎を解くのに貢献した研究者の一人、ラルフ・ラングナー氏は、ベレスフォード氏がコードを公開すべきではないと考えている。「ディロンは私にアドバイスを求めませんでした」と彼は言う。「しかし、私が彼に与えるアドバイスは、『Metasploitのコードは絶対に公開してはいけない。これはダイナマイトだ』ということです」
Metasploitモジュールは、スキルの低いハッカーでも発電所を混乱させるソフトウェアを容易に構築できるようにする。たとえシーメンスが根本的な問題をすべて解決したとしても、パッチが適用されるまでには何年もかかるだろう。発電所の1日の停止は、運営者に100万ドルの損害をもたらす可能性があるとラングナー氏は述べた。「発電所の運営者が『あの忌々しいパッチをインストールするために発電所を1日停止させよう』と言うとは考えないほうがいい」と彼は述べた。
ベレスフォードがシーメンスのシステムを調査するきっかけを作ったのは、実はラングナー氏だったことが判明した。ラングナー氏は、スタックスネットに関与したとみられる偵察活動と高度なPLCプログラミングから、このようなことを実行できる技術的ノウハウを持つ組織はごくわずかだと考えている。
ベレスフォードは、産業用ハッキングも安価に実行できることを証明したかった。彼の会社はシーメンスのシステム購入に2万ドルを出資したが、ベレスフォードは作業の大部分を数週間かけて自宅の寝室でこなした。「こんな能力を持っているのはスパイだけじゃない」と、ブラックハットでのプレゼンテーションで彼は語った。「普通の人間でも地下室でやってのけるんだ」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
