プロセス安全システムを標的にしたマルウエアの脅威

Submitted by Shin Kai on

【訂正】 以下の記事中、安全計装システムを狙ったサイバー攻撃を受けた施設としてサダラ・ケミカル(Sadara Chemical Company)を特定しましたが、これを「中東にあるダウンストリーム石油処理施設」に訂正いたします。(2018年4月18日)


プロセスプラントのプロセス安全システムが、サイバー攻撃の標的となり始めたことが明らかになった。このことはプロセスオートメーション業界に対するサイバー脅威が一段と深刻化したことを意味する。プロセス安全システムの妨害は、原子力発電、石油・ガス精製、化学・石油化学、鉄鋼、水処理などのプロセスプラントの安全操業に対する直接的な脅威となり、人命を巻き込んだ爆発事故など大惨事の引き金ともなり得る。ニューヨークタイムズ紙の電子版が3月15日付で報じたが、これに先んじてARC も3月1日付でアドバイザリ・サービス会員企業向けのInsights レポート(英文)で、同じサイバー攻撃の経緯と対策を紹介していた。プロセス安全システムの中でも3重の冗長化構成により業界で最も安全度を高めた製品として知られるシュナイダーエレクトリック(Schneider Electric)のトライコネックス(Triconex)システムを侵害した今回の攻撃の概要をご紹介する。

サダラ・ケミカル攻撃の概要

ニューヨークタイムズ紙の記事("A Cyberattack in Saudi Arabia Had a Deaadly Goal. Experts Fear Another Try.”)によれば、今回の攻撃の概要は次のようになる。

  • 石油メジャーのサウジアラムコ(Saudi Aramco)と化学大手ダウ・ケミカル(Dow Chemical)の合弁会社サダラ・ケミカル(Sadara Chemical Company: サウジアラビア王国ジュバイル)の石油化学プラントのコンピュータシステムが標的型攻撃を受けたのは2017年8月である。専門家の調査によれば、目的はデータ破壊やプラントの運転停止ではなく、プラント安全システム妨害による設備施設の爆破だったことが想定されている。結果は、爆発せず攻撃は失敗する。その失敗の理由は主として攻撃側のコーディングミスによるものだった。
     
  • 今回システム侵入(compromised)されたのは、シュナイダーエレクトリックの3重冗長化安全計装システムであるトライコネックス・コントローラであり、同コントローラは、世界中の原子力発電所、水処理施設、石油・ガス精製施設、化学プラントなど約18,000プラントで使用実績がある。
     
  • サウジアラビアの主力産業への攻撃という動機が想定されており、同盟国アメリカでは、アメリカ国家安全局(National Security Agency)、FBI、米国土安全保障省(DHS)、国防省の国防高等研究計画所が今回の攻撃の仕組みの解明と攻撃者の特定作業に携わっている。
     
  • サウジアラビアは2012年以降、度々、コンピュータウイルスShamoon による攻撃に晒され、甚大な被害を受けてきたが、今回のハッキング攻撃に用いられているコンピュータコードはこれとは異なる新種である。
     
  • 検査官は、ハッカーが現在までにすでにプログラムの誤謬を修正できた可能性が高く、サダラ・ケミカル攻撃で使ったのと同様の技術を他の産業用制御システムに適用するのは時間の問題と考えている。これと異なるグループがこれらのツールを入手し別目的で使用する可能性もある。
     
  • 攻撃者は、システム侵入の方策を探し出すのに成功しただけでなく、施設内のレイアウト設計-パイプがどこを走っているか、バルブの配置・機能等-を熟知していて、爆発発生に至るプロセスを読み通せたと想定される。
     
  • トライコネックスのシステムは、物理的破壊以外の手段で想定外の改変調整や破壊ができない安全システムの「鉄板」として信頼を得てきたが、一方で同じバージョンがeBay サイトから4万ドルで入手できることから、ハッカーは事前にこれを入手できた可能性がある。
     
  • 攻撃側には豊富なリソースがある。攻撃者はイラン国の可能性あり。

ARC インサイト報告による補足と推奨

ARC が3月1日付けで発行したInsights 報告(題名:”New Malware Targets Process Safety Systems: Now What?”)には、オートメーション業界側からの視点を加えた別の記述が見られる。ARC 報告は、上記サイバー攻撃が業界内で露見したのが2017年12月であり、新型マルウエアがTRISIS (トライシス)あるいはTRITON (トライトン)と呼ばれていることを明らかにしている。

このプロセス安全システムを妨害する攻撃によって、SCADA と産業用制御システムのサイバーセキュリティ対策を巡る議論は従来とは一線を画する段階を迎えた。トライコネックスを供給するシュナイダーエレクトリックに加え、ファイヤアイ(FireEye)やドラゴス(Dragos)など産業サイバーセキュリティ対策専門企業がサダラ・ケミカルと親密な連携の上に、攻撃の解明とその業界内での情報共有に重要な役割を果たしている、という。

ARC は、今回の攻撃の洗練度と指向性から、攻撃はトライコネックスのシステムに限定されるものではなく、他のいかなるプロセス安全システムに対しても複製が可能と想定している。プロセスの異常状態が発生しても、安全システムがもはやな反応しないようにプログラム変更してしまうところに攻撃のポイントがあるからである。安全システムが異常状態に対して反応できなくなれば、人命を巻き込むような大規模な設備の爆発損壊に対する重要な歯止めが失われる。従って、今回のインシデントは、世界の産業プロセス及び製造業に対する重大な警告として受止められるべきであろう。

2017年8月のサダラ・ケミカル攻撃によって、プラントは安全に操業を停止した。攻撃者はプロセス安全計装システム(SIS)のエンジニアリングワークステーションへの遠隔アクセスを獲得して侵入し、攻撃フレームワークを展開してSIS コントローラのプログラムを書換えた。プラントに装備され10年稼働したTricon システムのSIS コントローラは侵害を受けたが、異常状態を検知し、フェールセーフ状態となって予め指定された手順どおりにプラントの操業停止を通じて安全状態を維持し、さらにプラント会社に異常を発報した。直ちにシュナイダーエレクトリックをはじめ民間サイバーセキュリティ対策企業、DHS、FBI はじめ複数の米国政府機関が攻撃の解明で協働。これに基づき、シュナイダーが顧客企業に対するインシデント報告を通知したのに続いて、12月14日にはファイヤアイがTRITON 報告を公に発表した。

攻撃者は、プロセス安全システムとつながった分散制御システム(DCS)を通じて安全システムへのアクセスを獲得した事が明らかになった。攻撃者にとってはプラントの停止は想定外だった。安全システムのロジックの書換えによって、安全システムがプラントのプロセス異常に対応できなくすることを目論んでいたからである。

変更管理の洗い直しと手順管理の改善

今回のインシデントから運用面、システム面で再検討を要する課題がいくつか浮上している。トライコネックス・システムには、プログラミングを実行する場合にこれを許容する物理スイッチが備わっていて、防護レベルを1つ追加する役割を果たしている。しかし今回、プラント稼働時にこのスイッチがプログラム許容状態のままになっていた。これはプラント運転側の変更管理の問題である。ことは技術の問題に留まらない。オペレータは、安全システムHMI を通じて、キースイッチがプログラムモードのままになっているとの警告を受けていた可能性がある。また、エンジニアリングワークステーションはプラント運転時には安全システムと接続状態にあってはならないはずである。

ドラゴスはその白書のなかで、安全システム用エンジニアリングワークステーションを通常は鍵つきのキャビネット内に隔離し、安全ネットワークとのみ接続することを推奨している。また安全ネットワークとインターフェースするいかなるワークステーションに対しても、USB スティックやCD ドライブなどとのモバイルデータ交換を許さないことも推奨している。

システム統合化の見直し?

過去十年間にわたり、継続的にプロセス制御システムとプロセス安全システムの統合化のレベルが進展してきた。すでに多くの場合、プロセス・オートメーション・システムとプロセス安全システムは共通ネットワーク上に配置されており、現行の業界安全標準であるIEC 61511 やISA 84 でもこれを容認している。しかし、TRISIS/TRITON の攻撃を受けて、ドラゴスとファイヤアイの両社はいずれもプロセス安全システムをプロセス制御システムから隔離した独立ネットワーク上に展開することを推奨している。ファイヤアイは、もしもDCS とSIS 間で通信が必要となる場合には、ユニディレクショナル(単一方向)通信ゲートウェイを採用することを求めている。ARC は、エンドユーザ企業に対して、プラントごとに異なる様々な優先課題を踏まえつつ、安全を確保するための必須課題としてこれらの推奨を真剣に検討することを求めている。