この記事は日経 xTECH有料会員限定ですが、2018年4月22日5時まではどなたでもご覧いただけます。
インターネットと全くつながっていなくても安心はできない。USBメモリーやモバイルコンピュータなどでウイルスが持ち込まれる恐れがあるからだ。イランの核施設を狙ったStuxnet(スタックスネット)は、その代表例だ。Stuxnetは、USBメモリーによってネットワークに持ち込まれたとされている。
Stuxnetが狙うのは、高速で回転する機器を制御するシステム。Stuxnetが確認された後の2010 年11 月、イランの核施設において、ウラン濃縮に使用する遠心分離器が、ウイルス感染によって稼働停止になったと報じられた。
このためStuxnetは、核施設を狙ったサイバー攻撃だったとして話題になった。StuxnetはWindowsで動作する。Windows などの脆弱性を複数悪用し、ユーザーが明示的に実行しなくても、感染を広げていく。
しかも、いくつかの脆弱性についてはセキュリティ更新プログラム(パッチ)が未公開だったので、パッチをきちんと適用していても感染する恐れがあった。
Stuxnetは、次のように感染を広げるという。まず最初に、USBメモリーなどを経由して、インフラ事業者などの情報系ネットワーク(通常の社内ネットワーク)に侵入。ネット経由で感染を拡大し、制御系ネットワークのWindowsシステムにも感染を広げる。
そして、ドイツのシーメンスが開発した特定の制御ソフトを乗っ取って、その一部を改変。同ソフトを使って、制御装置(PLC)に悪質なプログラムを書き込み、その装置が制御している工業機器を誤動作させる。2010年6月のウラン濃縮工場のケースでは、誤動作させる対象がウランを濃縮させる遠心分離器だった。
もちろん、インフラ事業者は万全のセキュリティ対策を実施している。だが、過去の事例が示す通り、社会インフラが被害に遭う可能性はゼロではないのだ。ネットワークにつながっている限り、どのようなシステムもサイバー攻撃の対象になる。例外はない。
社会インフラを支える制御システムの汎用化が進み、開発コストや運用効率が向上しているとのメリットはある。この動きは今後も続くだろう。だがその“対価”として、サイバー攻撃を受けるリスクは確実に高まっている。サイバー攻撃は、社会全体の脅威になっている。個々の企業の力で対応できる時代は既に終わっている。 国や産業界の垣根を越えてリスク低減策を考え、手を打つ必要がある。
