2017年5月、「ランサム（身代金）ウェア」を使った大規模サイバー攻撃が世界各地で発生し、日本でも多数の企業や個人への被害が報告されました。前回ご紹介したとおり、コネクティビティやオートメーションからの恩恵を得るためには適切なセキュリティ対策が必要不可欠となっています。第2回ではビルオートメーションを標的としたサイバー攻撃のトレンドを実例を交えてご紹介します。

ビルのInternet of Things（IoT）

スマートビルはデジタルデバイスやネットワーク、アプリケーションがWebを介してつながることによって、現在の利用状況や天候予測をもとに、自動的に室温を変えたり、立ち入り禁止区域の入口で、監視カメラに見知らぬ人が映るとビル管理者に警告で知らせたり、エネルギー使用量を最適化し、制御トラブルを未然に防いだりすることができます。スマートセンサーやスマートデバイスなどの新たなデータ源を得ることで、ビルオートメーションシステムはさらにビルの効率化を促進すると同時に、ビル内の多様なシステムを統合し、一元管理を可能にします。こうしたシステムはインターネット・プロトコル（IP）ネットワーク上で動作し、相互に一体となって高度なオートメーション機能やリモートコネクティビティ機能を提供します。さらに、クラウド対応のシステムによって、アクセシビリティやスケーラビリティが加わり、コストを低減します。しかし、こうした進化はサイバーセキュリティの懸念を広範にもたらすことにもなり、スマートビルのオーナーや運用会社、管理者はこの点に真剣に取り組む必要があります。

 

コネクティビティにサイバーリスクはつきもの

米国土安全保障省の産業制御システムセキュリティ担当機関ICS-CERTは2015年のレポートの中で、重要インフラ関係者の74%が「ネットワークに接続された制御システムは、さまざまなインフラを通じてセキュリティの脅威にさらされる可能性が高まっている」と答えていることを報告しています。さらに、「サイバーセキュリティ上、こうした急速な脆弱性の拡大によって、スマートビルの所有者や運用事業者、管理者には適切な防御措置を講じる必要性が生じ、実行されない場合にはビジネスリスクに直面する」ことにも言及しています。

ホワイトハッカーや研究者が発見したリスクや脆弱性は、手順が整わないまま情報開示されており、ハッカーがその脆弱性を利用して攻撃をしかけ、データストリームに関する情報を売買することで利益を得る危険性があります。また、政府系組織が企業や個人の機密情報に侵入したり、テロリスト集団が重要なシステムを破壊したり、安全上の問題を生み出す危険性もあります。

サイバー脅威を巡る最近の動向からは、さまざまなサイバー攻撃が次第にビルオートメーションシステムなど制御システムのインフラを標的にするようになっていることを明らかに示しています。以下に示すとおり、制御システムを標的としてカスタマイズされたマルウェアが増加しているだけでなく、ビルに関連するサイバー脅威環境はさまざまな攻撃者や攻撃のベクトル、多彩な手口を通じて拡大しています。

例① 研究者が大手インターネットサービスプロバイダーでビル制御システムをハッキング
セキュリティを専門とする研究者たちが、パッチが適用されていない大手インターネット検索プロバイダーの脆弱なビルオートメーションシステムをハッキングし、コントロールパネルの管理者アクセス権を入手することに成功しました。実行こそされなかったものの、オペレーティングシステム全体を制御することも可能な状態でした。

例② ハイテク装備の中国ホテルでハッカーが数百室の客室制御ネットワークに侵入
宿泊者のためにネットワークアクセスを提供していた中国の5つ星ホテルでは、倫理的ハッカーが高度に自動化されたホテルの客室ネットワークに侵入し、建物内にある何百もの同タイプの客室を制御可能な状態にしていました。もし適切な安全措置が講じられていなければ、照明や冷暖房、デジタルキーといった制御システムが操作され、宿泊客の個人情報が盗み出されていたかも知れません。
 
例③ IoTデバイスが史上最悪のサイバー攻撃の標的に
DNSプロバイダーの米Dyn社を標的にした過去最大規模のDDoS（分散型サービス拒否）攻撃は、欧米で多数のインターネットユーザーを巻き込んだ重大な障害を引き起こしました。攻撃はボットネットを通じて実行され、マルウェアに感染したIPカメラやデジタルレコーダー、プリンターなど、インターネットに接続された大量のデバイスで構成されていました。同様の機器類はスマートビルの至る所に設置されており、攻撃対象となるリスクがあることを示しています。

例④ 対応遅れによりスマートイノベーションからの撤退を余儀なくされたホテル
オーストラリアにある4つ星クラスの高級ホテルは最近、続けざまにサイバー攻撃の被害にあいました。4度目の攻撃の後、ホテルは電子キーカードシステムがランサムウェアに感染し、宿泊客の到着時にスタッフがルームキーをプログラムできなくなっていることを発表しました。ビットコインでの「身代金」の支払いを何度も繰り返した後、ホテルの経営者はルームキーオートメーションを止め、100年前のホテル開業時に使っていたものと同様の物理キーに戻すことを決定しました。スマートイノベーションの導入にあたっては、適切なサイバー防御が取られているかどうかが、極めて重要なのです。

「プラグアンドプレイ」で全てを解決できるようなソリューションなど存在しない

スマートビル環境の安全を確保するためには、リスクベースの計画、セキュリティアーキテクチャ、テクノロジー、プロセス、スキルなど、さまざまなアプローチを融合する必要があります。ITセキュリティの世界では、ベンダーがこうしたアプローチをうまく体系化してパッケージにしてくれますが、ビルオートメーションシステムにはあてはまりません。なぜなら、ビル設備はそれぞれ用途や規模に応じて、個別にカスタマイズされたシステムや機器が設置される傾向が強く、その設備投資にかかる費用が膨大なため、実際にはいろいろな世代のシステムが混在しているケースが多くあります。このような状況に対し、適切なセキュリティソリューションを設計するためには、さまざまなパズルのピースをうまくはめ込めるだけの優れた経験や技術力を持っている必要があります。

次回はサイバー攻撃からビルを守り、サイバースマートビルへと進化させるために当社が推奨する基本ステップをご紹介します。