「電力」をサイバー攻撃から守れるのか?

150626_power_grid.jpg

スマートなんちゃらはセキュリティホールと隣あわせ?

生活のすべてを支える電力網へのサイバー攻撃を防ぐために、アメリカはさまざまな対策を打っています。サンタクララ大学で電気工学を教える非常勤教授のMichael McElfreshさんは、スマートグリッドにIoTであらゆるものがつながってくる時代に、ライフラインを守る重要性、そして難しさを訴えています。

***

強調してもしきれないくらい、電力網はアメリカの社会と経済にとって重要なものです。通信から水まで重要なインフラや、銀行から牛の搾乳にいたるまですべてのビジネスは、電力網があるからこそ成り立っています。

電力網の設備を含む、多くの機械がインターネットに接続するようになり、電力網にぶら下がるものは増える一方です。昨年、オバマ大統領と議会に向けて提出されたレポートでは、「アメリカに物理的、経済的、心理的に大きな傷を負わせたいのならば、電力網は明らかにターゲットとされるでしょう」と、長時間停電への脆弱性に警鐘が鳴らされています。

現代社会で長時間停電することのダメージはかなりのもの。それは2012年のハリケーン・サンディのときに多くの人が身にしみたことです。今年のはじめ、米エネルギー省はレポートの中で、電力網の直面している大きな課題はサイバーセキュリティだと述べました。電力網の安全確保は、水道、通信、交通、緊急対応システムとの相互依存によって、ますます難しい問題になりつつあります。

さて、現代の電力網依存社会は何が問題なのでしょうか? 電力網は大きな攻撃に耐えうるのでしょうか? 一番の脅威は何なんでしょう?

自然災害や物理的な攻撃に対する電力網の脆弱性は、2013年に起きたカリフォルニアの変電所の襲撃事件など、何度も露見しています。一方のサイバー攻撃は、国防総省も含めた機関が昼夜を問わず監視しているんです。

電力網がサイバー攻撃に弱い理由

電力網は、物理的なインフラを監視・制御するSCADAとよばれる制御システムで運営されています。SCADAシステムの中心は、専用のプログラマブル・ロジック・コントローラー(PLC)。PLCはもともと自動車業界向けに開発されたものですが、現在では製造業や電力網、その他の重要インフラなど、自動化されていて遠隔で操作できるシステムにはあらゆる場面で使われています。

電力網を攻撃するときには、このPLCが狙われることがよく知られています。2010年に発見されたイランのウラン濃縮用遠心分離機への攻撃もそうです。APT攻撃に分類されるスタックスネットは、シーメンスのSCADAシステム、SIMATIC WinCCを狙いました。

スタックスネットは遠心分離機を制御していたPLCを乗っ取り、通常運転をしているように見せかけながら、遠心分離機を破壊するため速度を上げるようプログラムし直しました。この新しい形のマルウェアは、攻撃対象をダウンさせるだけでなく、機能を変えてしまうことで設備に修復不可能なダメージを与えたのです。

PLCメーカーにとって、ソフトウェアの更新や再プログラミングを安全に行なうことは、ずっと悩みの種。マルウェアや、暗号化されたネットワークを突破しようとする相手との戦いです。

スタックスネットは、重要なシステムが物理的にインターネットから切り離されたエアギャップネットワークを打ち破れるように設計されていました。USBメモリーを使う人などを介して、エアギャップを飛び越えてインターネットに接続しているシステムから、孤立している重要システムに入り込むのです。

インターネット・オブ・メニー・シングス - 無数のIoT

電力網(パワーグリッド)に計算機能と通信機能を搭載したスマートグリッドの普及は、電力網のシステムに侵入するポイントをたくさん作ってしまいました。現在、スマートグリッド端末から送信されるデータについては、そのデータの送り主と、データの内容が正しいものなのかそれとも攻撃なのか、ということしかわかりません。IoTが広がっていくにつれて、不安は大きくなるでしょう。無数の異なる種類のセンサーがあらゆるところに設置されるからです。センサーからのメッセージが正しいものなのか、それとも攻撃なのか、どうやって見分けられるのでしょう? 暑い日に部屋の温度を下げようとする顧客になりすました攻撃なんてものもありえます。

電力網全体を守るということは、構造的な観点からも課題です。約3,200もの電力網を運用する事業者があり、そのネットワークは相互接続しているのです。

政府は、アメリカをサイバー攻撃から守るために数々の取り組みを行なっています。電力網に関して言えば、エネルギー省のサイバーセキュリティのリスク情報共有プログラム(CRISP)や、国土安全保障省の全米サイバーセキュリティ通信統合センター(NCCIC)は、重要インフラの事業者が自主的に情報を共有することで、将来の攻撃に備えています。

技術的な面では、米国立標準技術研究所(NIST)とIEEEがスマートグリッドやその他の新しい技術標準のセキュリティ確保に向けて動いています。複数の政府機関もマルウェアによる攻撃方法や、システムを守る方法についての研究にお金を出しています。

しかし何よりも、国防総省がサイバー軍USCYBERCOM)を編成したことがこの問題の重要さを示しているのかもしれません。陸軍、海軍、空軍、宇宙軍に続く第5の軍隊がサイバー軍ですから。

国防総省のサイバー戦略の3つ目はこんな風に言っています。「破壊的なサイバー攻撃からアメリカ国土と絶対的利益を守るために準備をすること」。

すでにSCADAシステムに対する破壊的なサイバー攻撃が行なわれる舞台は整っています。

2012年のレポートで、全米科学アカデミーはもっと電力網がサイバー攻撃への耐性を持ち、ライフラインのシステムが安全になるよう近代化するため研究が必要だと呼びかけています。インターネットにつながるたくさんのデバイスが電力網にぶら下がっていくこの社会で、そのセキュリティと保護には高い優先順位が与えられなければいけないでしょう。

image by Nick Page

Michael McElfresh - Gizmodo US[原文

(conejo)