PwCサイバーサービスが制御システム向けアセスメント

重要インフラを狙う脅威に対応、無線通信のセキュリティを検証

 2017.02.09−PwCサイバーサービスは5日、電気・ガス・水道などのライフライン、交通機関、工場の生産ラインなど、社会的な重要インフラに対するセキュリティリスクを検証するため、Wi-Fiや特定小電力無線などのワイヤレス通信を対象にしたアセスメントサービスを提供開始すると発表した。これらは外部と接続されていないクローズドシステムが大半で、セキュリティ対策が不要とみられるケースも多かったが、IoT(モノのインターネット)の採用でワイヤレス通信の導入が広がっており、そこがリスクになる可能性が高まっているという。

 インフラ系の制御システムは、外部ネットワークと切り離されている上、ハードウエアやソフトウエアも独自開発のものが多く、一般的なセキュリティソフトの動作対象にならない場合もあることから、セキュリティ対策が見過ごされることが多かった。ただ、近年では、これらの制御システムへの攻撃が成功した事案が発生。攻撃者が内部ネットワークに直接USBメモリーを持ち込んだり、内部ネットワークに接続できるPCをウイルスメールで攻撃したりした事例が確認されている。

 とくに、同社はIoTの導入によってリスクが増していると指摘する。IoT機器と通信するWi-Fiルーターなどが工場内あるいは敷地内に設置されているためで、そこが攻撃の糸口になる可能性があるという。具体的には、主にDoS攻撃や電波を攪乱・妨害するジャミング攻撃によって標的を通信不可能な状態に追いやる(Wi-Fiの可用性を侵害)攻撃手法、無線電波を盗聴し暗号化を解読するなどして標的の通信内容を不正に取得したり正規のアクセスポイントになりすましたりする(Wi-Fiの機密性を侵害)攻撃手法、他端末や正規のアクセスポイントになりすまし偽造した制御データフレームなどを注入する(Wi-Fiの完全性を侵害)攻撃手法が知られている。

 今回の同社の「ワイヤレス通信アセスメントサービス」は、専門家がワイヤレス通信の利用状況を現地で調査し、通信の暗号化規格や認証方式、接続設定などの把握に加え、使用されないまま放置されているアクセスポイントの抽出、電波の到達範囲の調査などを実施。十分なセキュリティ強度が確保されているかを検証し、セキュリティ対策における課題を明確にする。

 先行して実施したプロジェクトでは、当事者が認知していないアクセスポイントが多数発見される例もあったという。同社では、2020年の東京オリンピックなどの大規模イベントに向けて、重要インフラへの攻撃が増加する恐れがあるとして、広くアセスメント実施を呼びかけていく。







******

<関連リンク>:

PwCサイバーサービス(トップページ)
https://www.pwc.com/jp/cyberservices/


ニュースファイルのトップに戻る