産業用制御システムの国際ハッキングコンテストでラックグループが優勝しました

こんにちは。次世代デジタルペネトレーション技術開発部 部長の仲上 竜太です。

2019年10月に東京都内で開催された、国際ハッキングコンテスト「ICS Cyber Hacking Challenge 2019」で、ラックとグループ会社ネットエージェントのメンバーによる合同チーム「Pumpkin Pie」が優勝しました。このコンテストは、日本最大級のサイバーセキュリティ国際会議CODE BLUE（コードブルー）初の産業用制御システムのセキュリティ技術コンテストとしてPwCが主催して行われました。

産業用制御システムは、鉄道や道路の信号機などの交通インフラや生産プラント、発電所など産業施設の制御に使われるシステムで、ICS ＝ Industrial Control System と呼ばれています。
今回は、コンテストの紹介を通して産業用制御システム（ICS）と侵入テストの重要性を紹介します。

産業用制御システムのハッキングコンテストに初挑戦で優勝

コンテストは、実際の都市で稼働している交通システムやビルなどを模した競技用の模擬スマート都市環境を使って行われました。競技はCTF形式（Capture The Flagの略。システムへの侵入や解析によって得られた答えの点数を競う競技）で行われ、日本国内だけでなく世界各国からの参加がありました。都市そのものは模擬ですが、外部機器を自動で制御するPLC（Programable Logic Controllerの略。プログラム可能な制御装置）などは現実の産業用設備と同じものが使われています。

合同チーム「Pumpkin Pie」は、普段、IoT機器や自動車に侵入するペネトレーションテストサービスや、オンラインゲームの不正を見つけるチート対策サービスの業務に従事しているメンバーで構成されています。
業務として日常的にIoT機器や自動車への侵入テストを行っている彼らですが、産業用制御システムへ侵入するのは初めての経験でした。

2日間にわたって開催された競技の間中、未経験の環境に苦戦しながらも徐々に制御システムや装置の仕様を理解し、模擬都市に組み込まれた交通機関の制御やリモートコントローラーを乗っ取るなど、制御系ならではの侵入テクニックを学びながら問題に取り組むことで、産業用制御システム初経験ながらポイントを重ねて見事優勝することができました。

今注目される、ペネトレーションテスト（侵入テスト）で
実力を発揮

初の挑戦となった産業用制御システムへの侵入では、合同チームが普段業務として行っているペネトレーションテストサービスで培った技術や知見が活用されています。

ペネトレーションテストサービスは、製品に存在するサイバーセキュリティ上の欠陥（セキュリティホール）を攻撃者に先回りして見つけ出し、脅威の度合いや修正の方法などをお客様に提案することで、市場への出荷前に製品の安全性を高めるサービスです。

脆弱性診断と似ていますが、ペネトレーションテストでは、セキュリティホールを突く手法のほかにも、単体では問題のない機能を組み合わせてから成立する攻撃シナリオを組み上げ、実際に製品に侵入し、その影響を確認します。

攻撃者目線で疑似攻撃をしかけるペネトレーションテストサービスは、IoT機器や自動車などの装置をはじめ、インターネットに公開されたサービスへの侵入、守られた情報システム環境への侵入など、IT化が進む様々な場面で、より強固なセキュリティを求めるニーズとともに注目が高まっているのです。

電子回路などのハードウェアの知識から始まり、OS、データベースなどのミドルウェア、ソフトウェア開発言語、ライブラリなどのソフトウェアの知識、インターネットやBluetooth、自動車をはじめ産業機器でも活用されている通信プロトコルCANなどのネットワークの知識、クラウドの知識など、コンピュータに関する幅広い領域の知識を駆使して攻撃シナリオを構築するセキュリティエンジニアである彼らは、まさに高度なコンピュータテクニシャンの称号でもある「ハッカー」といえる存在です。

生活に結びつく重要インフラと産業用制御システム

多くの人に利用され秒単位のコントロールが行われている交通システム、様々な製品や原料を絶え間なく加工する製造プラント、エネルギーを支える発電施設や通信施設など、生活を取り巻く重要なインフラは、様々な産業用制御システムによってコントロールされています。

一方、IoTの普及やICTの発展により、これまでネットワークに接続されていなかった領域があらゆる場面でつながるようになったことで、利便性が高まると同時にリスクも高まっています。

ICS Hacking Challenge 2019で用意された模擬スマート都市に対する攻撃がサイバー攻撃者の手によって現実の工場や施設に行われたとき、社会に与えるインパクトは非常に大きなものになります。

ラックは、2019年10月にネットエージェントとの共創によるセキュリティサービスの強化を目的として、次世代デジタルペネトレーション技術開発部を設立しました。
DX（デジタルトランスフォーメーション）やデジタルツインなど、あらゆるデジタルテクノロジーが著しいスピードで発展、普及する状況下において、「技術」の力で日本のデジタル社会の安全・安心を守るべく、新たなテクノロジーに対して常にサイバー攻撃者の先を行く侵入技術を磨いています。

国際的スポーツイベントの開催を間近に控え、サイバー攻撃の脅威にさらされる日本は、重要インフラのセキュリティの重要度が増しています。今回のICS Hacking Challenge 2019への参加によって得られた手掛かりをもとに、より知識を蓄え技術を高めることで、日本の産業の発展に貢献してまいります。