Larsen氏は「ほとんどのシステムには、プロセスが安全でない状態に陥らないようにするための安全装置が備えられている。このため、操作員向けの画面の上をランダムにクリックしても致命的なエラーにつながることはないだろうが、深刻、かつコストのかかる影響と無縁になるわけではない」と述べている。
「2015〜2016年に発生したウクライナの電力会社に対するサイバー攻撃の場合、攻撃者は単にすべての送電機器を遮断しただけだったが、それでもこの種の攻撃の恐ろしさを感じるには十分だった」(Larsen氏)
開発者は、モバイル機器を経由した攻撃からSCADAシステムを保護するために、従来のICSで講じられているセキュリティ対策と同レベルの取り組みをモバイルアプリに適用する必要がある。
セキュリティ企業Embediで情報セキュリティ監査を担当しているIvan Yushkevich氏は、「こういったアプリがミッションクリティカルなICSシステムへの侵入口になるという点を、開発者は肝に銘じておく必要がある」と述べるとともに、「アプリケーション開発者は、コストの高い影響をもたらす危険な攻撃から自社のアプリケーションやシステムを守るために、セキュアコーディングに関するベストプラクティスを採用することが重要だ」と述べている。
なお、IOActiveとEmbediは、影響が及んでいるベンダーに対して、調査結果を責任あるかたちで開示したうえで、そのベンダーらと連携して修正を確実なものにしようとしている。さらに、ICS環境で使用するすべてのモバイル機器のセキュリティ強化を推奨している。
Larsen氏は、「モバイル機器(のセキュリティ)は他の機器と同様、強化できる。強化に向けては、どのような場合でも優れたセキュリティアーキテクチャが役に立つだろう。大半のモバイル機器は、アップデートを適用するためにインターネットに接続する必要があるものの、ICSとインターネットの双方を同時に使用する必要はないはずだ」と述べている。
「制御ネットワークの防衛線はいつかは破られるという前提を忘れないようにする必要がある」(Larsen氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
