アルゼンチン、ブエノスアイレスで開催されたセキュリティカンファレンスSegurinfo 2019において、ESETのグローバルセキュリティエバンジェリストであるトニー・アンスコム(Tony Anscombe)は、スマートビルについて講演をおこない、スマートビルにはセキュリティリスクが潜んでいることを説明した。その興味深い内容について詳しく紹介していく。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
米国などの先進国では、2020年までにスマートビルが2014年と比べて16.6%増加すると予想されている。これは米国だけの話ではなく、世界規模で増加の一途を辿っている。この背景には、社会全体でテクノロジーが普及し続けていることがある。このような社会ではプロセスを自動化し、エネルギー効率を追求することで、官民を問わずあらゆる業界が目標としている持続可能な社会だけでなく、コスト削減も可能となる。もちろん、建設業界も例外ではない。
スマートビルはビルオートメーションシステム(BAS)と呼ばれるテクノロジーを利用し、ビル内のさまざまな環境条件をコントロールすることができる。その結果、中にいる人々が快適に過ごし、生産性を高めることができるのだ。「モノのインターネット(IoT)」の登場により、スマートビルの定義は変わった。ハイテク機器はスマートセンサーから情報を受け取り、建物のさまざまな環境を分析、予測、診断、維持に活用する。それ以外にもプロセスを自動化し、さまざまな運転状況をリアルタイムに監視することができる。現在、テクノロジーを利用して室温、照明、セキュリティカメラ、エレベーター、駐車場、上下水道などの管理が自動制御されている。
このスマートインフラの可能性をきちんと理解するため、トニーはラスベガスのホテルを例として挙げた。2年前、このホテルでは人が滞在している間だけ空調が作動するように、高度なオートメーションシステムを設置することにした(ラスベガスは高温の砂漠気候で、非常に雨が少ない地域であることに留意してほしい)。このスマートシステムの設置後、初年度に200万米ドルのコスト削減を達成した。これは、プロセスの自動化によるエネルギー消費量の低減によるものである。マリオットホテルは、990万米ドルのエネルギーコスト削減を目指し、ホテルチェーン全体に同様のシステムを導入するに至った。
トニーはこの他にも、スマートデバイスによる自動化の例として英国のスーパーマーケットを挙げた。この店はスマートシステムを駐車場に設置。車が通過する際に発生する運動エネルギーを変換し、駐車場の料金精算機の電力として活用するものだ。
一見すると、このようなスマートビルには特にセキュリティリスクが見受けられないように思われる。しかし、スマートネットワーク全体がひとつのデータベースに接続されていれば、そこにリスクが潜んでいる可能性がある。現在、各メーカーから多くのIoTデバイスが製造されている。こういったメーカーが設計や製造プロセスにおいてセキュリティ対策をしっかり講じていない場合、特に注意が必要となる。多くの人は、決してこのようなビルに住むことはないと考えているかもしれない。しかし、IoTを利用したスマートビル市場は急速に拡大しているため、「多くの人が今、このような機能を備えたビルに住んでいなくても、いつか住む可能性があるだろう」と、トニーは指摘している。
攻撃されやすいスマートビル
サイバー犯罪者の一番の目的は、金を稼ぐことである。しかし、それだけではない。彼らは社会に衝撃を与えたり、恐怖心を煽ったり、ということも目論んでいる。彼らがやる気になれば、スマートビルのセキュリティぐらい、難なく突破することができるだろう。
セキュリティ対策が施されていないIoTデバイスが、インターネットに接続されているとしよう。Shodanなどのツールを使えば、この脆弱なデバイスを誰でも見つけ出すことができる。トニーが説明したとおり、このツールを使って検索すると、何千件ものBASがリスト表示される。攻撃者はこのリストの情報を悪用し、デバイスへの不正アクセスを試みる。2019年2月に検索したところ、世界中のBAS約35,000件がShodan上に表示された。
つまり、誰でも検索してターゲットになりそうなBASを見つけたら、攻撃可能というわけだ。例えば、犯罪者は狙いを定めたBASをShodanで検索すると、IPアドレスも探り当てるだろう。このIPアドレスをウェブブラウザーのアドレスバーにコピーすると、管理画面が表示される。通常、ログインのためのユーザー名とパスワードの入力が必要だが、パスワードがデフォルトのままとされていることもある。あるいは、ブルートフォース攻撃で解読されてしまう場合もある。この管理画面にログインすると、スマートビルに入居している企業が所有する詳細情報を手に入れることができてしまうのだ。
攻撃者はこの公開情報にアクセスし、例えば空調の状態を監視できたら、「ファンが最大能力で回っているので、技術者を派遣したい」と保守管理会社を装って電話をかけてくるかもしれない。さらに、攻撃者はリモートアクセスできるように要求してくるかもしれない。そうなれば、彼らはサーバーにアクセスし、建物を制御できてしまう。攻撃者が制御部分を掌握すれば、建物の暖房換気空調(HVAC)システムを変更したり、他の自動システムの操作方法を変えたり、意のままに操ることができる。彼らはビルを閉鎖させない代わりに、仮想通貨など匿名性が高い決済方法での支払いを要求してくるかもしれない。
シージウェア: 現実的な脅威
スマートビルを狙ったサイバー攻撃について詳述した記事で、「この手の攻撃は単発の出来事ではない」とESETのシニアセキュリティ研究員であるスティーブン・コブ(Stephen Cobb)は指摘している。彼は同様のインシデントが発生した後、当局に支援を求めたところ、当局の「同じようなことが以前にもあった」との発言に驚きを隠せなかったとのことだ。つまり、サイバー犯罪者は隙さえあれば、同様の攻撃を仕掛けているのだ。スティーブンは、この手の攻撃を「シージウェア」、つまり「デジタルで制御しているビルの機能低下を招き、法外な要求をするためのハッキング能力」と呼んでいる。
最後になるが、ビル用のIoTデバイスの価格が下がり、BAS向けのテクノロジーが進展することで、セキュリティ環境が変化してきている。ビルの利用者がさらに快適に過ごし、エネルギーなどの資源を有効利用できるよう自動化が進み、データ収集のためスマートデバイスの利用が増えている。これらに伴い、セキュリティリスクが高まる。すなわち、こうした環境の変化こそが、サイバー犯罪者によるスマートビルへのランサムウェア攻撃などを招く最大の要因となっているのだ。
覚えておきたいセキュリティ対策
トニーはプレゼンテーションの最後に、覚えておくべき多くのセキュリティ対策と要件を述べている。
- デバイスのセキュリティ仕様の見直し、「セキュリティバイデザイン」というコンセプトに基づいた対策の取り組み
- セキュリティ用として適切な予算の設定
- セキュリティ問題に精通するパートナーの選定
- 脆弱性を管理するためのソフトウェアのインストール
- さまざまな分野や部門との協力体制の確保
彼は運用上の問題に関連するアドバイスも述べている。
- デバイスの定期的なアップデート
- デバイスのサポートライフサイクルの終了時期を考慮した交換計画の策定
- コネクテッドデバイスに関する安全対策
- コネクテッドデバイスの監視