[ オピニオン ]
(2017/7/10 05:00)
このところ5月の「ワナクライ(WannaCry)」に続いて、6月末には「ペーチャ(Petya)」というウイルスの亜種を使った世界規模のサイバー攻撃が起き、欧州、ロシア、ウクライナなどの企業や政府機関に多大な被害が発生しました。
これらはセキュリティーパッチを当てていないウィンドウズOSの脆弱性をついたものでしたが、産業分野で全く別種のセキュリティーリスクが存在することを、情報セキュリティー大手のトレンドマイクロが報告しました。その対象とは、日本が誇る産業用ロボットです。
5月3日に英語で発表されたリポートのタイトルは「悪党ロボット(Rogue Robots)」。トレンドマイクロで未来の脅威を予測する「フォワード・ルッキング・スレット・リサーチ(FTR)」チームと、イタリアのミラノ工科大学の研究者が共同で、産業用ロボットに対する不正アクセスの可能性について調査したものです。(下記の「産業用ロボットのセキュリティリスクを検証」のリンク参照)
それによれば、最新の機能を備えた一般的な産業用ロボットに対して、離れた場所からリモートで、元々のプログラムコードを変えることなくロボットの動作を改変することに成功したというのです。
今回、FTRチームが産業用ロボットに着目した理由は、IoT(モノのインターネット)を取り入れたスマートファクトリーの重要な構成要素の一つであるため。とはいえ、「現時点でロボットを狙ったサイバー攻撃で確認されたインシデント(事象)はなく、ロボット向けのワーム(自己増殖機能を持つ不正プログラム)も確認していない」と、同社コアテク・スレットマーケティンググループ担当課長代理の森本純さんは言います。
それでも実証実験により、内部犯行あるいはベンダーによるサービスを装って外部からロボットにアクセスし、攻撃を仕掛けることが可能であることを確認し、ロボットの脆弱性も洗い出しました。
その上で、報告書では5つの攻撃シナリオを例示。コントローラーのパラメーターやロボットのステータス(状態)情報などを改ざんすることで、ロボットに不正確な動作をさせ、結果的にロボット自体を損傷させたり、製造する製品の品質を落としたり、あるいは周囲にいる人間に危害を加えたり、といったことが考えられるということです。その動機についても、身代金の要求から、物理的損傷・人的損害、生産妨害、機密データの漏えいなどが想定されています。
では、こうしたリスクを踏まえ、産業用ロボットを工場で使うユーザーはどういった対策を立てればいいのでしょうか。同社ソリューションマーケティンググループ・プロダクトマーケティングマネージャーの上田勇貴さんは、「ユーザーはロボットという”点”ではなく、工場や全体を俯瞰した形で対策をすべきだ」と指摘します。
上田さんによれば、ロボットは単体ではなく、ウィンドウズなど汎用OSを使う上位の管理用コンピューターなどと接続されているケースが大半であるためで、(1)セキュリティー基準・ガイドラインの整備(2)多層的な防御対策の導入(3)組織の体制づくりと人材の育成、という3つの方向性に沿った対策の重要性を強調しました。
いずれも基本的なことではありますが、今後、IoT化で「つながる工場」が増えていくと見られるだけに、セキュリティーの基本はきっちり押さえておきたいところ。しかも、工場の場合、オフィス用と違ってシステムを止めたり、コンピューターの配線を抜いたりできないケースがほとんど。通常から、インストール不要のセキュリティー診断ソフトをロボットが稼働していない時間帯に走らせたり、ネットワーク通信から通常とは異なるアノマリー(異常)をいち早く発見したりするなど、予防と検知の態勢も決め手となるようです。
一方で、今回の実証実験を通して、標準的なロボットに実装されているOSやソフトウエア及びライブラリー、アカウントの認証システムなどに脆弱性が存在し、すでにセキュリティーリスクが指摘されている古い暗号アルゴリズムを使っているケースもある、といった課題も浮かび上がりました。
トレンドマイクロでは、ウェブ上でこうした報告書を公開するだけでなく、5月22日からシリコンバレーのカリフォルニア州サンノゼで開かれた米電気電子学会(IEEE)主催による「セキュリティーとプライバシーに関するシンポジウム」でも調査結果を発表。ロボット業界全体でのセキュリティー強化に向けた取り組みを訴えています。
実際にロボットメーカーとの協業にも乗り出していて、大手のABBロボティクスとはいくつか共同の取り組みを開始しています。それ以外の社名については「非公開」としながら、同じように協業を進めているところがあるようです。
このところ、人の近くで人と一緒に作業する協働ロボット(コボット)が人気です。だからこそ、悪意を持った人間によって作業者に危害を加えられることのないよう、ロボットのセキュリティーもさらに高めていく必要があると言えるでしょう。
(デジタル編集部・藤元正)
【産業用ロボットのセキュリティリスク(トレンドマイクロ)】
(2017/7/10 05:00)
