Stuxnetと産業制御システムのセキュリティ

井上孝司 Koji Inoue @kojiinet

ちょっと待った、Stuxnetの標的は原発ではなくて遠心分離機ではないか? ［1］原子力発電所の設備を狙う「Stuxnet」：ITpro http://t.co/SZnv1XOd #itprojp

(๑╹◡╹๑) @tsuchie88

@kojiinet Stuxnetに関する分析って、どうも的外れなものが多くて違和感を感じてしまうことが多いです。事実関係としても、これだけ明確な誤認があったりしますし。少なくとも、この記事に載ってる図はStuxnetの感染形態の一形態ですらないです・・・。

井上孝司 Koji Inoue @kojiinet

@tsuchie88 あと、ありがちなのが「核施設を狙った = 原子炉を狙った」という短絡ですね。私は早い時期にISISのレポートを読んでいたので、勘違いせずに済みましたけれど

(๑╹◡╹๑) @tsuchie88

@kojiinet 特に三ページ目の、制御システムのオープン化が進んで脆弱性が増している、という点は首を傾げざるを得ません。SCADAは昔から制御をPLCやRTOSでやって、監視システムやユーザーインターフェースにオープン系を使う手法は一般的ですし

(๑╹◡╹๑) @tsuchie88

@kojiinet 極端に言えば、それ以前の時代だと制御もインターフェースもオープン系でやってた頃だってあります。最近はコストダウンを目的として、制御もインターフェースもPCでやるみたいな産業システムもありますけど、ここで示されているオープン化の弊害とは別の厄介な問題があります

(๑╹◡╹๑) @tsuchie88

@kojiinet 根拠レスな妄想ですけど、そもそもイラン向けの遠心分離機ってカーン研究所由来のものだと思うので、なんらかの形(ISI経由とか)で、仕様情報を入手して特定の標的に適した攻撃を作ったんじゃないかな、と思いますが・・・。

(๑╹◡╹๑) @tsuchie88

@kojiinet むしろ、一般に意識すべきなのは、スタンドアロンまたは隔離されたネットワークでも、USBメモリのような外部媒体によるワーム感染の可能性を意識すべきだという点と、Windows Embedded系(CEもNTも）のセキュリティ対策を生産技術的にも意識する必要が

(๑╹◡╹๑) @tsuchie88

@kojiinet このあたりの対策は、たとえば半導体関係ですとディスコさんとかは、以前からかなり積極的にやっておられて、アンチウィルスソフトを標準で入れたりとか、メーカーさんによっては結構やっとられるんですけど、如何せん生技系は、この手の脅威に無頓着だったりするんですよねぇ

井上孝司 Koji Inoue @kojiinet

@tsuchie88 それと、マルウェアが何らかの政治的意図を持った「兵器」として使われた可能性が高い事例としてのStuxnetの意味は重くて、さらに今後も同様の事例は増えるだろう、というところを重視するべきでしょうねえ

(๑╹◡╹๑) @tsuchie88

@kojiinet で、PLCレベルの話だとまだ論点があって、一部のPLC製品にはファームウェアがCEベースなシステムがあったりするんですが、どうもセキュリティ界隈ではCEまたはNT(Embedded）の話に集中しがちなんですが、本質的なところはちょっと違う気がします

(๑╹◡╹๑) @tsuchie88

@kojiinet SCADAのような構成をとるシステムに特徴的なのですが、個別に制御をやってるPLCを監視したり、PLCに対して命令を出す群管理システム構成だと、PLCと群管理サーバ間の通信の脆弱性をついた、というのがStuxnetの特徴だと思います

(๑╹◡╹๑) @tsuchie88

@kojiinet PLCと群管理系の通信の実装は、PLCのメーカーごとにさまざまな仕様があって、たまたまPLCベンダーとしてシェアの高いシーメンスを使ってたから、生産技術系がパニックになっとるわけですけど、「PLCにアンチウィルスソフトを！」とかわけのわからんことを情シスが

(๑╹◡╹๑) @tsuchie88

@kojiinet おっしゃるとおりで、そのあたりの話になると、単純に群管理システムのセキュリティを維持するというだけの話だけではなくて、閉鎖系のネットワークの設計から考慮しないといけないので、指摘されるような脅威がどの程度重大なのか、というのが見極めがつきにくいです

(๑╹◡╹๑) @tsuchie88

@kojiinet セキュリティベンダーさんが、危機感をあおられるの大変結構なことなんですが、脅威評価も影響分析も鼻くそほじる程度に適当な状態で、ほったらかしにされるのがまったく持って困るわけです。どうも、あおられてる危機感が非常に別のベクトルを向いてる感じがして・・・。

井上孝司 Koji Inoue @kojiinet

@tsuchie88 まさに、危機感を煽ろうとして明後日の方向に行っちゃった記事ですね。本質的なところがすっぽり抜けてるんじゃないかと思えてなりません

(๑╹◡╹๑) @tsuchie88

@kojiinet これ、ホント困るというか前々から課題で、どういう施策がとろうかと考えながらできてない話なんですが、情報システム系と生産技術系の垣根って非常に大きくて、情報系も生産技術もわかってないド素人のセキュリティベンダーに的外れなこと言われると大変困るんですよ・・・。

(๑╹◡╹๑) @tsuchie88

@kojiinet うちみたいな町工場ですらこんな感じですから、たぶん他社さんだともっと困ってる方はたくさんいると思います。そもそも論として、情シスも生産技術も、お互いを知らなすぎるんで、課題の共有すらできてないんですよねぇ　だから、いきなりStuxnetの話ぶつけられても？で

(๑╹◡╹๑) @tsuchie88

@kojiinet ですから、まず社内でも社外でもいいんで、勉強会みたいなことができたらいいなぁとずっと思ってるんですが・・・。やるにしても、双方の領域を知ってる人が少ないのと、OSやPLCをはじめとしたEmbedded系のメーカーさんまで巻き込まないと、ちょっときつい感が

井上孝司 Koji Inoue @kojiinet

「Stuxnetと産業制御システムのセキュリティ」をトゥギャりました。 http://t.co/JARzKYfY

井上孝司 Koji Inoue @kojiinet

リストの順番が逆だったので修正 「Stuxnetと産業制御システムのセキュリティ」 http://t.co/JARzKYfY

井上孝司 Koji Inoue @kojiinet

@tsuchie88 これはまとめておいた方がいいと思ったので、久しぶりに togetter を使ってみました。問題ありましたら対応しますのでご連絡ください。 http://t.co/JARzKYfY

(๑╹◡╹๑) @tsuchie88

@kojiinet まとめありがとうございます。ちょっと、この問題はディスコミュニケーションが酷すぎる領域なんで、少しくらい煽っといたほうがいいとは思いますが・・・。

井上孝司 Koji Inoue @kojiinet

@tsuchie88 ことにサイバー防衛が絡む問題って、煽りの度が激しすぎると思うんです。適正な脅威認識と、それに対してどういう対策が可能、かつ有意なのかを冷静に勉強できる機会が欲しいですよね