ACME Specialty Chemical International Inc. の工場現場で何かひどい問題が発生しました。
タンクから液体が溢れ、電源は何度も落ち、CEOのジェフ・ハーン氏は何が起こっているのか全く把握できていない。彼の背後には工場を制御するコンピューターがある。不気味なことに、カーソルがまるで生命を宿したかのように画面上を動き回っている。「マウスが全く制御できないんです」と端末にいた女性が言う。
結局、ジェフ・ハーン氏に責任があることが判明した。多くのCEOと同様に、彼もメールの受信箱で気になるリンクを見つけるとすぐにクリックしてしまう。今回は、ライバル会社であるバーニー・アドバンスト・ドメスティック・ケミカル社に所属するハッカーが送信したリンクをクリックしたのだ。
幸いなことに、ACMEケミカルは実在しません。これは米国国土安全保障省(DHS)とアイダホ国立研究所(INL)が実施する訓練演習の一環です。そして、ジェフ・ハーン氏は実際にはCEOではありません。彼はINLの訓練リーダーで、金曜日にアイダホ州アイダホフォールズにある研究所の訓練施設で行われたサイバー演習に参加していました。
ACMEケミカルのような産業システムを運用する人々は、伝統的に何よりも一つのことを重視してきました。それは、機械が中断なく稼働し続けること、そして重要なセキュリティパッチやOSのアップデートでさえも、何事にも邪魔されないことです。こうした目立たないシステムは、シーメンス、ハネウェル、ロックウェル・オートメーションといった大企業によって構築されていますが、彼らは目立たないようにしてきました。
スタックスネットによってかき立てられた
昨年の Stuxnet ワームはすべてを変え、これらの種類のマシンは攻撃され、サイバー攻撃によって停止させられる可能性があることを示しました。
これにより、DHS(国土安全保障省)が資金提供するINL(国立情報学研究所)のセキュリティプログラムが注目を集めることになった。なぜなら、これらのプログラムは政府の産業システム安全計画の根幹を成すからだ。「様々な意味で、これまで接続されたことのない機器をこのグローバルネットワークに接続しており、その過程で問題が発生する可能性があります」と、DHS国家保護・プログラム局のグレッグ・シャファー次官代理はINLでの記者会見で述べた。「彼らはこれらのシステムのドアを蹴破っており、場合によっては侵入も行われています。」
制御システムセキュリティプログラム(Control Systems Security Program)と呼ばれるINLプログラムには、約75名が携わっています。年間予算は2,500万ドル強で、産業システムへの攻撃に対する最前線の防衛線を担っています。
金曜日の演習は報道関係者向けに実施された。しかし、毎月約40名のエンジニアやコンピュータセキュリティ専門家が、この1日がかりの演習に招待され、スキルを競っている。レッドチームと呼ばれるハッキンググループのメンバーが、ブルーチームが防御するテストネットワークへの侵入を試みる。
ハーン氏によると、善玉側が勝利するのは通常だが、容易ではないという。テストネットワークには無数の穴があり、ブルーチームのメンバーは事前にその穴を知らないため、レッドチームがネットワークを詳細に調査し、工場のフロアを混乱させる前に、システムを確保するために奔走することがよくある。
制御システムプログラムは、米国政府が発電所、化学精製所、そして工場の現場におけるコンピュータセキュリティ強化に取り組む中で、主要な武器の一つとなっています。大型産業機械のハードウェアとソフトウェアを製造する企業は、INLを利用して自社製品の厳格なセキュリティ評価を受けることができます。テスト費用の一部が納税者から負担されるため、ベンダーにとっては有利な条件であり、INLにとっても、エンジニアが将来的に発生する可能性のあるセキュリティ問題を把握できるため、メリットがあります。
INL は 10 年近くこの作業をひっそりと続けており、昨年は 75 社のベンダーの製品を評価したが、Stuxnet をめぐる報道により、これまでにないほど注目を集めている。
次のワームはそれほど無害ではないかもしれない
世界はStuxnetの脅威を回避した。世界中に拡散したものの、感染したシステムのほぼ全てが稼働状態を維持した。それは、イランのナタンツ原子炉にあるウラン濃縮遠心分離機を狙ったサイバー狙撃だった。
しかし、2つ目の産業システムワームの可能性は、多くのセキュリティ専門家を懸念させている。Stuxnetは数万台のシステムに感染し、その中にはシーメンスのプログラマブルロジックコントローラを搭載したシステムも数多く含まれていた。もしStuxnetがナタンツの遠心分離機だけに被害を与えるのではなく、感染したシーメンスの全システムを混乱させるように設計されていたら、広範囲にわたる被害を引き起こしていた可能性があった。
スタックスネットによってこれらの機械が攻撃可能であることが証明された今、産業システムへの新たなサイバー攻撃は避けられないだろうと、全米情報セキュリティ審査委員会(National Board of Information Security Examiners)のCEOであり、産業セキュリティ問題の著名な専門家であるマイケル・アサンテ氏は述べている。「それは時間の問題だ」と彼は述べた。
しかし、この種のインシデントに対応するためにINLに設置された米国国土安全保障省のICS-CERT(産業制御システム)チームは、深刻な問題に備えることができているのだろうか? 批評家は、国土安全保障省がスタックスネットの脅威への対応が遅く、共有した情報も倹約的だったと指摘している。
訓練演習に参加した国土安全保障省(DHS)職員はスタックスネットへの対応を擁護したが、ICS-CERTの責任者は改善の余地があると述べた。「どれだけの情報を公開するのか、いつ公開するのか、どのように公開するのかについては、常に評価が必要だと考えています」と、ICS-CERTのディレクターであるマーティ・エドワーズ氏は述べた。「スタックスネットは私たちのパフォーマンスを示す非常に良いケーススタディであり、私たちはこれらの評価を継続的に行っています。これらのシステムを防御するために必要なツールを産業界に提供できるよう、プロセスを微調整し続けていきます。」
エドワーズ氏は、国土安全保障省(DHS)はシマンテックなどのベンダーに比べて、意図的にこの問題に関する詳細情報を少なく公開したと説明した。「スタックスネットの技術的詳細はまだ広く公開していません。それは、依然として機密事項だと考えているからです」とエドワーズ氏は述べた。「スクリプトキディや模倣犯を助長したくないので、そうした詳細を完全にオープンな公開ウェブサイトに掲載するつもりはありません。」
計画の実施
金曜日の演習が行われた訓練施設からわずか数ブロックのところに、INLが産業システムの「監視フロア」を運営している。ここは、次のスタックスネットが出現した場合、電話が鳴り始める機密指定の建物で、ITおよび産業システムを専門とするスタッフが住んでいる。木曜日にはアナリストが4人しかいなかったほど小規模だが、シスコやシマンテックなどの大企業のセキュリティオペレーションセンターのような雰囲気だ。人々がコンピューターの前に座り、大画面には対処が必要な状況がリアルタイムで表示されている。2010年7月にスタックスネットが初めて出現したとき、米国の対策が集結したのはここだった。このワームはすぐに、同じくINLがアイダホフォールズで運営する特別なマルウェア分析ラボに引き渡され、セキュリティ専門家と産業エンジニアによって分析された。
エドワーズ氏の上司であるグレッグ・シャファー氏は、グループは「我々が対処しなければならなかった複雑で新たな一連の状況に対し、適切な対応をとった」と述べている。彼は知的財産の流出が現在米国が直面している最大のサイバー問題だと考えているが、発電所や原子力施設に対する巧妙に練られた攻撃による終末的な可能性を考えると、アイダホ国立研究所で行われているような研究は重要だ。
「これは進化を続ける問題であり、私たちに重大な影響を及ぼす可能性があります」と彼は述べた。「このプログラムは、私たちがこうした問題に先手を打つために設計されています。」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
