狙われる工場ネットワークの通信データ
〜知っておきたいリスクと対策〜

工場DXの進展に伴い、工作機械やPLC※1など、工場における作業工程を自動化するさまざまな機器(FA※2機器)がネットワークにつながるようになった。もし、サイバー攻撃によりネットワーク上を流れるこれらFA機器への命令データが悪用されたらどうなるだろうか。今回はそのリスクについて解説する。

工場ネットワークを流れる命令データ

 前回はDXの進展に伴い、工場環境において求められているセキュリティ対策として以下の6点を説明した。不正侵入防御、資産の可視化、不正侵入検知、内部拡散防止、マルウェア対策、そして不正接続防止だ。

 その中でも今回は、ネットワーク上での対策である不正侵入防御、不正侵入検知、内部拡散防止について掘り下げていく。工場内のネットワークを流れる通信データには、FA機器の制御や監視を行う命令データが含まれている。ネットワーク上の対策を行うためには、この通信データを理解することが必要だ。

 では実際にどのような通信データが流れているのか、FA機器の制御を行うためによく利用されているプロトコルを例に説明する。

クローズドな環境前提の制御プロトコル

 Modbus/TCPは、米国のModicon(現Schneider Electric)によって開発された、工場においてFA機器の制御や監視を行うための代表的な通信プロトコルだ。ほかにもEtherCATやCC-Link IEなど、さまざまな制御プロトコルがある。EtherCATは、ドイツBeckhoff Automation、CC-Link IEは三菱電機によって開発されたものだ。工場ではさまざまなFA機器メーカーによって開発された、これらの制御プロトコルがネットワーク上を流れているが、知っておいてほしいのはそこにサイバーリスクが潜んでいることだ。

 これまでの工場は、直接的にも間接的にもインターネットにつながっていないクローズドな環境で、サイバー攻撃やマルウェア侵入のリスクは少なかった。そのため、以前から利用されている制御プロトコルには通信データを暗号化する機能はない。また、認証機能を持たないプロトコルも多い。このことによって生じるサイバーリスクを説明する。

図1:制御プロトコルの脆弱性を突いた攻撃例

制御プロトコルと潜むサイバーリスク

 前述した三つの制御プロトコルのうち、Modbus/TCPを使用して洗浄水の温度設定を行う操作を例に見ていこう(図1)。HMI※3(操作端末)から洗浄水の水温を42度に変更するよう指示を出したとする。すると、HMIから指示を受けたPLCは対象機器のレジストリ内にある温度設定値格納エリア(図1内、300番地)の値を42度に書き換えようとする。

 ここがサイバー攻撃を受けるとどうなるだろうか。攻撃者がHMIとPLC間の通信を傍受してPLCのIPアドレスを入手したとしよう。前述の通り、Modbus/TCPは認証機能を持たないため、攻撃者がPLCのIPアドレスに向けて300番地を100度に変更するよう指示を出すことができてしまうのだ。その結果、洗浄水の温度が許容範囲を超え、生産工程に異常を来し工場のラインが停止する事態にまで陥ってしまうわけだ。

図2:IDS/IPS、ファイアウォールによるリスク対策

サイバーリスク低減のための技術

 ここからは先ほど説明した工場内のサイバーリスクを抑えるための技術について説明する。

 ITのシステムではネットワークにおける検知と防御のためにIDS(不正侵入検知)※4/IPS(不正侵入防御)※5やファイアウォールを用いる(図2)。通常は、これらを一つにしたUTM※6をネットワークに設置する。UTMには通常、アンチマルウェア機能も含まれているため、外部からのマルウェア侵入やマルウェアの内部ネットワークでの拡散を防止できるのだ(内部拡散防止)。

 工場のネットワークにおいても基本はITのシステムと変わらない。ただ、FA機器には独自の脆弱性が存在する可能性がある。まずは、それらの脆弱性を狙った外部からのサイバー攻撃を検知・防御しなければならない。そのためには、FA機器メーカーから公開されている脆弱性をIDS/IPSが理解しておく必要がある。工場のネットワークに対応した産業用のIDS/IPSであれば、そのシグネチャ(脆弱性を狙ったサイバー攻撃を特定・判別するためのデータ)を持っている。

 次に、前述の不正な命令をPLCに送るような攻撃をブロックする仕組みが必要だ。先ほどと同じく産業用のファイアウォールであれば、制御プロトコルを理解し通常と異なる命令を検知した場合にはアラートを挙げたり正常な命令だけを許可したりする仕組みを設けられる。

 また、すでにOA環境と工場環境の間にUTMを設置している組織もあるかもしれない。そうした組織ではまず、設置しているUTMが工場ネットワーク特有のFA機器の脆弱性を検知する機能や制御プロトコルによる命令を理解できる機能を持っているかどうかを確認してほしい。もし該当する機能がなかった場合には、一度UTMを導入したITベンダーに相談し、機能の有無について確認するのがよいだろう。UTMの入れ替えをせずにライセンスを追加購入するだけで、該当機能を具備できる可能性があるからだ。既存の資産を有効活用することで工場環境のセキュリティ強化を進めていただきたい。

※1 Programmable Logic Controller:工作機械を制御するための装置。
※2 Factory Automation:工場における作業工程を自動化するさまざまな機器。
※3 Human Machine Interface:人間と機械の間で情報をやりとりするための仕組み。
※4 Intrusion Detection System:PCやネットワークなどと外部との通信を監視し、不正アクセスを検知した場合、セキュリティ管理者に通知する不正侵入検知システム。
※5 Intrusion Prevention System:IDSのように通知するだけでなく、通信遮断まで自動実行する機能を持つ不正侵入防御システム。
※6 Unified Threat Management:複数の異なるセキュリティ機能を一つのハードウェアに統合し、統合脅威管理を行う。