産業用制御システムのセキュリティが残念な状況であることの一端を示す調査報告書～Kaspersky Lab

　製造業だけでなく、重要インフラをはじめとする日常生活に密着した基盤サービスでも使われている産業用制御システム（以降、ICS：Industrial Control System）に対するサイバー攻撃が発生するなど、そのセキュリティ上の問題に注目が集まる中、Kaspersky LabはICSのセキュリティに関する2つの調査報告書「Industrial Control Systems Vulnerabilities Statistics」と「Industrial Control Systems and Their Online Availability」を公開しました。

　今回の調査は、米ICS-CERTやNVD/CVE、ICSのベンダーなどが公開している脆弱性情報と、検索エンジン「Shodan」で調べた、対象システムで使用されているソフトウェアバージョンを含むバナー情報などに基づいており、Kaspersky Labが当該システムに対して脆弱性診断を直接行ったわけではないことに注意が必要です。

　今回の報告書の中で特にメディアなどが注目したのが「インターネット経由で外部からアクセス可能なICSの91％以上が遠隔からの攻撃に脆弱である」との調査結果です。しかし、この表現は少々煽り気味で、あたかもすぐに攻略（侵入、改ざん、漏えいなど）されてしまう可能性があるかのように見えますが、正確にはそうではありません。

　報告書では、インターネット経由で遠隔からアクセス可能なICSを設置しているホスト（IPアドレス）で、WHOISデータベースの情報から大企業（重要インフラ事業者を含む）に属しているとみられるものが1万3698台あり、そのうち遠隔からの攻撃に脆弱なものが91.1％にあたる1万2483台であるとしていますが、注意すべきはその内訳です。1万3698台のうち、HTTPやTelnet、Niagara Foxなどの安全でない（insecure）プロトコルでの待受が行われているものが1万2425台（90.7％）、致命的（critical）な脆弱性を含むものが453台（3.3％）で、それらを合計し、重複を除いた台数が1万2483台（91.1％）なのです。つまり、安全でないプロトコルで待ち受けているだけのものなど、確かに「遠隔からの攻撃に脆弱である」可能性はあるものの、即「攻略可能」とは限らないものも含まれているのです。もちろん、安心できる状態とは言い難いですし、改善したほうが良いとは思いますが、実際に遠隔から攻略可能かどうかは設定や運用方法にも依存しますし、今回の調査ではそこまで踏み込んで調べているわけではないのです。「91％以上が遠隔からの攻撃に脆弱である」というのは間違いではないものの、誤解を招く表現であることは認識しておくべきでしょう。

　なお、インターネット経由で外部からアクセス可能なICSの数は世界全体で22万668であり、それらは世界170カ国の18万8019台のホスト（IPアドレス）に設置されています。国や地域別にまとめた以下の図を見ると、米国が30.5％を占め、圧倒的大多数を占めるのに続き、ドイツが13.9％、スペインが5.9％となっています。日本も7番目に位置しています。

TOP 20 countries by ICS availability（「Securelist」2016年7月11日付記事より）

　また、これらのホストのうち91.6％にあたる17万2338台において安全でないプロトコルでの待受が行われています。

TOP 15 protocols used by externally available ICS components（「Securelist」2016年7月11日付記事より）

　使用されているICSのベンダー数は133と分散していますが、その中で多かったのはTridium (11.1％)、Sierra Wireless (8.1％)、Beck IPC (6.7％) の順になっています。

ICS availability by vendor（「Securelist」2016年7月11日付記事より）

　ICSをタイプ別に分類したのが以下の図です。トップのnetwork device（6万1335）にはindustrial router（4万1968）やindustrial gateway（1万2024）が含まれています。

ICS components availability（「Industrial Control Systems and Their Online Availability」より）

　このように、実際にインターネット経由でアクセス可能な状態にあるICSの数が少なくない一方で、ICSに関する脆弱性も近年では数多く報告されています。

ICS vulnerabilities by year（「Securelist」2016年7月11日付記事より）

　2010年には19件だったものが、2015年にはほぼ10倍の189件へと増えています。この増加はICSのセキュリティに対する関心の高まりを示すとともに、それまでいかにICSがセキュリティを考慮せずに設計・構築されていたかを示すものとも言えるでしょう。

　2015年に公開された189件の脆弱性情報の深刻度をCVSS値で分類したのが以下の図で、最も深刻度の高い「High」が全体の半数近くを占めていることが分かります。

ICS vulnerabilities in 2015 by risk level（CVSS v.2 and CVSS v.3）（「Securelist」2016年7月11日付記事より）

　なお、189件のうち26件については、その脆弱性を悪用する攻撃ツールが存在していますが、その一方で多くの脆弱性が、認証情報が埋め込まれているなどの特別なツールなしで悪用可能なものであるという点にも注意する必要があります。脆弱性をタイプ別に分類したのが以下の図です。深刻度が「High」に分類されるもの（赤）が多くを占めていることがこの図からも分かります（黄は「Medium」）。

Top 10 vulnerabilities of ICS components in 2015（「Industrial Control Systems Vulnerabilities Statistics」より）

　2015年に公にされた脆弱性に対するパッチについてまとめたのが以下の図です。85％が修正済みですが、パッチが全く提供されていないものが合わせて10％あることが分かります。しかも、そのパッチ未提供19件のうち、14件が深刻度が「High」に分類される脆弱性とのことです。

ICS patching（「Securelist」2016年7月11日付記事より）

　ICSのセキュリティが残念な状況であることはかねてより指摘されていましたが、今回の報告書は、それを証明するとまでは言えないまでも、一端を示す結果と言えるでしょう。また、今回の結果はあくまで公になっている脆弱性情報やShodanで検索できる情報に基づいているだけなので、深刻なリスクのあるICSは実際にはもっと多いと考えるべきであり、その点は報告書内でも指摘されています。

　ICSを導入している企業や組織には、当該システムがインターネット経由で外部から直接アクセスできる状態になっていないか、そもそも直接アクセスできる必要があるのか、改めて確認することを強くお願いします。