日経テクノロジーonline SPECIAL

制御ネットワークへの攻撃はこうして行われる ペイロード部分も解析できるIDSで防止

生産現場の制御ネットワークは汎用技術を取り入れることで、工場外のあらゆるシステムとつながるようになった。半面、仕様が公開されているためデータが偽造されやすく、セキュリティの危険にもさらされるようになった。アルチザネットワークスの門田氏は、外部の攻撃者がどのようにIP(Internet Protocol)を悪用して攻撃を仕掛けているかを解説した。

門田 隆之 氏
アルチザネットワークス
事業統括本部
ネットワークプロダクト事業戦略部
部長

 生産現場の制御ネットワークは現在、インターネットと同じIPを使って通信するものが増えた。汎用技術を使うことで外部とも容易に接続できるようになり、コントローラ側の制御装置と現場の機器がパケット通信で情報をやり取りし、機器を操作したり、情報を吸い上げたりすることができる。

 IPのパケットは、MACアドレスやIPアドレスなど送信元や宛先を格納するヘッダ情報と、データを格納するペイロード情報に分けられる。インターネットではペイロードで情報を伝送するが、制御ネットワークの場合はこのペイロードをさらに分割し、制御対象に合わせた独自のプロトコルを定義していることも多い。ペイロードの一部のビットをデバイスのIDや種類、信号の種類などとして定義し、残りのビットをコマンドや動作状態の送信に使っているのである。

 こうした制御方式では、ペイロードのそれぞれのビットがどのように定義されているのかが分かれば、正規の制御装置からでなくても機器を制御できてしまう恐れがある。あり得ないデバイスの種類やコマンドを送って機器をハングさせ、警報を送らせない状態にしたうえで、異常な制御をさせるコマンドを送り込めるわけだ。実際、制御ネットワークを流れるパケットをキャプチャして、中身を解析できるツールも出回っており、「異常な制御は容易」と門田氏は警告する。

正常パケットをホワイトリスト化

 こうした攻撃から制御ネットワークを守るためには、門田氏は「ペイロードまで解析が可能なIDS(侵入検知システム)が必要」とし、その機能を持つ同社のIDS「etherExtractor IDS-IN」を紹介した。etherExtractor IDS-INは、スイッチのミラーポートに接続しネットワークを流れる通信データを監視する装置で、ホワイトリスト型のIDSという点が特長だ。

 一般の情報ネットワークで使うIDSは、異常な通信を定義して排除するブラックリスト型である。これに対し、制御ネットワークは通信すべき機器と動作があらかじめ決まっている。正規の通信を定義しておき、それ以外を排除する方式のホワイトリスト型が適用できるという。

図●ガスプラントの制御ネットワークがマルウエアに感染したときの通信状態
[画像のクリックで拡大表示]

 定義する方法はペイロード部分も含めてパケットをキャプチャし、それを元に許される通信を抽出してホワイトリスト化するもの。それ以外の通信が行われれば、警報を出すように設定する。ペイロードを監視対象にできるため、不適切な通信相手の排除だけでなく通信データの詐称にも対応できる。

 門田氏は「生産現場の制御ネットワークにどういうデータが流れているか、まず見える化することが重要です」と説明し、見える化によりセキュリティの危機を実感できるとともに、正規の通信はパターン化でき、ホワイトリストでセキュリティを強化できることを認識できるという。

お問い合わせ
  • 株式会社アルチザネットワークス

    〒190-0012 東京都立川市曙町2-36-2 ファーレ立川センタースクエア

    TEL:042-529-3494

    URL:http://www.artiza.co.jp/