オープンソースソフトウェアは大規模停電を防げるのか
老朽化が進む中、Microsoftベースの企業システムと相互接続される機会が増えているのだ。状況は悪化していると、専門家も指摘している。暇を持て余したスクリプトキディがすぐにでも発電所を攻撃する可能性があるというのだ。しかも、発電所への攻撃は特に難しいことではなく、Webで手に入れたツールキットを使ってウイルスを作成するのと変わらないくらい簡単だという。
制御システムセキュリティ会社VeranoのCEOを務めるBrian Ahern氏は、北米電力網のセキュリティを脅かす問題として、制御ソフトウェアが組み込まれた電力供給システムへの投資が不足していること、電力業界の基幹業務システムが旧来の制御システムと相互接続されていること、Microsoftのようなセキュリティに不安のあるプラットフォームをベースに制御システム技術を構築するベンダが多いこと、の3つを挙げる。
投資不足とは、ほとんどの公益企業のシステムが老朽化し、現在の負荷やセキュリティ問題に対応できていないことを意味する。たとえば、10メガビットのプライベートネットワークで動作するように設計された旧来のシステムの中には、ファイアウォールなどの基本的なセキュリティ機能も備えていないものがある。
しかし、こうした旧来のシステムをMicrosoftのソフトウェアが動作する基幹業務ネットワークに接続する公益企業が増えている。プロプライエタリソフトウェアの代表企業であるMicrosoftは、ウイルスやワームなど悪意あるソフトウェアに頭を痛めている。Microsoftのソフトウェアを採用するということは、そうした悪意あるソフトウェアの影響を受けやすくなるということである。
オハイオ州でも発生していた大規模停電
こうしたセキュリティ問題が今年1月、オハイオ州の公益企業FirstEnergyが運営するDavis-Besse原子力発電所で表面化した。東海岸で過去最大の停電となった原因を突き止めるため、FirstEnergyに対して徹底した調査が行われた。その結果、Slammerワームが同発電所の内部ネットワークに侵入し、パッチのあてられていないWindowsサーバに潜んでいたことが判明した。報告書によると、Slammerワームがスキャン処理を始めたことで内部ネットワークの速度が低下し、最終的に原子炉安全状態監視装置がクラッシュしたという。
旧来の制御システムはUNIXベースのものが多く(Ahern氏によると、発電所の作業員にとってControl-Alt-Deleteは脅威なのだそうだ)、Microsoftのソフトウェアを攻撃対象とするワームやウイルスとは無縁なのだが、10メガビットのネットワーク技術を採用しているため、大きな打撃を受けやすい。「侵入検出を導入しシステムを監視するだけでも、サービス拒否が発生して、発電所の操業停止を引き起こすことがあります」(Ahern氏)。
Ahern氏は、企業のファイアウォールはデータ整合性の維持に重点が置かれがちで、制御システムの保護には適さないとも指摘する。制御システムはリアルタイムで動作するものであり、そのようなシステムでは処理、可用性、信頼性が最優先されるのだ。
米エネルギー省などの関係機関は今回の停電の原因からサイバー攻撃を除外しているが、Ahern氏は首をかしげる。制御システムは広く開放されているため、サイバー攻撃の可能性を否定できるだけの材料はどこにもないという。旧来のシステムは、攻撃の対象にされやすい。「ワーム、テロリスト、内部関係者など攻撃者はさまざまです。アルカイダはこれまで攻撃対象として旧来のシステムを考えていなかったかもしれません。しかし、今は違います」。
ワームの活動や調整の取れた攻撃は、人間が反応できないほど大量のイベントを連続的に発生させるという。Veranoの技術はNSAのSecure Linuxをベースに構築されており、侵入などのイベントを検出すると、制御システムを企業ネットワークから切断して自動的に「エアギャップ」を形成する。
「熟練ハッカー並みの知識がなくても、制御システムに侵入して大きな損害を与えることができます。残念なことですが、電力業界ではごく基本的な防衛策さえ取られていないのが現状です」(Ahern氏)。また、制御システムの脆弱性すら査定していない所がほとんどで、セキュリティ侵害に備えて制御システムを積極的に監視する作業員もほとんどいないという。
予期せぬシナリオなのか
MITのエネルギー環境研究所の所長Stephen Connors氏は、Ahern氏の指摘によって老朽化するインフラの問題点が明らかになったと評価する。その一方で、9/11のテロ攻撃以来2年間に渡り、エネルギー企業は自社システムを徹底的に調査してきているとも指摘する。「すべてのセキュリティホールが修復されているとは思いませんし、多世代の制御システムに問題があるのは間違いありません」と述べる一方、ハッカーが公益企業に対して破壊行為を仕掛ける可能性については「確率の問題」だと指摘する。「確率が80%の世界と60%の世界では話がまったく異なります」。
Michael Skroch氏が責任者を務める米サンディア国立研究所の「レッドチーム」は、米国の重要インフラで動作する制御システムと自動化システムの脆弱性を査定している。「重要インフラの制御システムでよく見られる脆弱性」と題するレポートでは、Ahern氏の指摘したセキュリティ問題がすべて引用されている。
Skroch(スクロウと発音)氏は、Ahern氏の査定に全面的に同意しているわけではないが、脆弱性の問題についてはほぼ同意見だという。「重要インフラの制御システムは侵入に対して万全とは言えません。私たちが実際に侵入を試みて成功しています。脆弱性も確かに存在します。既にいくつかの脆弱性を特定しています。攻撃が実際に行われるかどうかは、悪意あるグループのモチベーションしだいです。ハッカーによる妨害行為については心配していませんが、統率の取れた高度な攻撃については心配しています。計り知れない影響を及ぼすからです」。
ハッカーがみんな操業停止を狙って発電所に攻撃を仕掛けるとは限らないが、発電所の脆弱さを考えると、ワーム、ウイルス、侵入などのハッカー活動によって予期せぬ結果も起こりえるという。
業界のレポートによれば、発電所の作業員が互いに情報を共有しなければ需要を満たすことができないのは明らかだ。制御システムをITシステムに相互接続すれば、資金繰りに悩む発電所のコストを削減できるのも確かである。制御システムをネットワークから切断するのは現実的に無理であるが、メーカー独自仕様で構築され、老朽化が進み、「隠蔽によってセキュリティが保たれている」システムは、今や需要もセキュリティ要件も満たすことができなくなっている。
セキュリティと利便性のバランスを保つ
Skroch氏は、システムがインターネットへ移行するにつれて、システムへの影響を考慮しつつ安全なプラットフォームにセキュリティを統合することが重要になってくるが、セキュリティと利便性のバランスを保つのは容易ではないと指摘する。「セキュリティをあまりにも重要視して、たとえばネットワーク接続を不要にしたら、発電所は機能しなくなるでしょう」。
Ahern氏にとって今は、既存のシステムを安全かつ堅牢なオープンソースセキュリティソフトウェアで「シュリンクラップする」絶好の機会である。しかし、大惨事から発電所を保護するためには、国土安全保障省やエネルギー省などの政府機関が作業員の増強を図らなければならないという。MITのConnors氏も同調する点だ。「オープンソースから得られるのは、Microsoftのプラットフォームには見られない信頼性と可用性を備えたプラットフォームです」(Ahern氏)。
Ahern氏は、今回の停電を「モーニングコール」だと指摘する。さらに悪い出来事が起きないうちに米国がインフラのセキュリティについて真剣に取り組んでほしいという。
Chris Gulker─シリコンバレーを拠点を置く、フリーランスの科学技術ライターで、1998年から130点以上の記事とコラムを書いている。彼の仕事場には7台のコンピュータとオーストラリアンシェパードと灰色の小さな猫がいる。
