日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
シーメンス S7
リリー・ヘイ・ニューマン
2009 年、コンピューター ワーム Stuxnet は、プログラマブル ロジック コントローラーとして知られる、施設の産業用コンピューター上で実行されているソフトウェアを標的にし、イランのナタンツ ウラン濃縮工場内にある数百台の遠心分離機を機能不全に陥らせました。 悪用された PLC はオートメーション大手シーメンスによって製造されており、すべて同社のユビキタスで長期にわたって稼働している SIMATIC S7 製品シリーズのモデルでした。 10 年以上が経った今、シーメンスは本日、同社の S7-1500 シリーズの脆弱性が攻撃者によって悪用され、悪意のあるファームウェアをデバイスにサイレントにインストールし、デバイスを完全に制御する可能性があることを明らかにしました。
この脆弱性は、組み込みデバイスのセキュリティ企業である Red Balloon Security の研究者が、S7-1500 のファームウェアを評価する方法論の開発に 1 年以上を費やした後に発見されました。S7-1500 のファームウェアは、2013 年以来、保護を強化するためにシーメンスによって暗号化されてきました。ファームウェアは低レベルのコードです。コンピュータ上のハードウェアとソフトウェアを調整します。 この脆弱性は暗号化の実装方法における基本的なエラーに起因するが、この方式は専用のATECC CryptoAuthenticationチップに物理的に焼き付けられているため、シーメンスはソフトウェアパッチで修正することはできない。 その結果、シーメンスは、同社が脆弱性があるとリストしている 122 の S7-1500 PLC モデルのいずれについても修正の予定はないと述べています。
シーメンスは、この脆弱性を悪用するには物理的なアクセスが必要であるため、顧客は「ターゲット展開内のデバイスへの物理的アクセスのリスク」を評価し、「信頼できる担当者のみがアクセスできるようにするための措置を講じること」によって脅威を軽減する必要があると述べている。物理的なハードウェアです。」 ただし、この脆弱性は、脆弱な S7-1500 PLC と同じネットワーク上の他のリモート アクセスの脆弱性と連鎖し、直接接触することなく悪意のあるファームウェアが配信される可能性があると研究者らは指摘しています。 Stuxnet の攻撃者が、汚染された USB サム ドライブを創造的なベクトルとして使用して、マルウェアを「エアギャップ」ネットワークに導入し、最終的に当時最新の S7-300 および 400 シリーズ PLC に感染したことは有名です。
「セイマンズの PLC は世界中の非常に重要な産業分野で使用されており、その多くは Stuxnet や核遠心分離機と同様、潜在的に非常に魅力的な攻撃対象となる可能性があります」と Red Balloon Security の研究科学者である Grant Skipper 氏は述べています。
S7-1500 PLC の普及性と重要性は、研究者がデバイスのセキュリティを深く調査する動機となった 2 つの特徴です。 意欲と豊富なリソースを備えた攻撃者にとっては、どんな欠陥も悪用する価値がある可能性があります。
「ファームウェアが暗号化されているということは、よほどの努力がなければデバイス内部の洞察が得られないことを意味します。そのため、1500 製品ラインに何が隠されているのかを知りたかったのです」と Red Balloon Security の研究科学者 Yuanzhe Wu 氏は述べています。 「これらのデバイスは、専用の暗号化コプロセッサを使用して、デバイスにロードされている暗号化されたファームウェアを検証し、ファームウェアを復号化し、デバイスを起動します。しかし、攻撃者が暗号コプロセッサを神託のように動作させて復号化できるようにする脆弱性を発見しました。ファームウェアを改ざんして悪意のある変更を加えるのを手助けします。」
ローレン・グッド
ローレン・グッド
ジュリアン・チョッカトゥ
ウィル・ナイト
ファームウェアはデバイスの機能の基礎となっているため、ファームウェアをサイレントに変更できると、他のすべてのセキュリティ保護が損なわれ、所有者が変更されたことに気づかずに攻撃者にデバイスを完全に制御されてしまう可能性があります。
「この独立した暗号コアは非常に初歩的なチップです。大きなプロセッサとは異なります。そのため、誰と通信しているのか、より広い文脈で何が起こっているのかはまったくわかりません」とレッドバルーンのスキッパーは言う。 「したがって、プロセッサーがプロセッサーに伝えているのを観察した正しいことをプロセッサーに伝えることができれば、プロセッサーはあたかもあなたがプロセッサーであるかのように話しかけてくれます。したがって、私たちはプロセッサーと暗号コアの間に入ることができ、基本的にプロセッサーに次のように伝えます。」ねえ、私たちは処理者で、あなたにデータを提供するつもりなので、それを暗号化してもらいたいのです。」 そして、小さな暗号コアはそれを疑うつもりはありません。ただそれを実行します。」
シーメンスは、これらの脆弱性は同社独自のファームウェア更新プロセスとは関連しておらず、攻撃者にその流通チャネルをハイジャックする能力を与えるものではないと指摘している。 しかし、どの S7-1500 もファームウェアを祝福する神託者になり得るという事実は重要であり、個々のデバイスが持つべきではない力を与え、ファームウェアを暗号化するというそもそもの目的全体を台無しにします。
「S7 は他の S7 のファームウェアを再暗号化できてはなりません」と Red Balloon Security の創設者兼 CEO の Ang Cui 氏は述べています。 「これは根本的な設計上の欠陥であり、重大な実装上の誤りです。」
シーメンスはこの脆弱性に対する修正を直接リリースしていないが、いくつかの S7-1500 モデルの脆弱性を修正する新世代プロセッサ ハードウェアのリリースを準備中であると同社は述べている。 そして同社は、「この脆弱性を完全に解決するために、残りの PLC タイプ用の新しいハードウェア バージョンの開発に取り組んでいる」と述べています。 Red Balloon の研究者らは、この最新の S7-1500 ハードウェアで脆弱性が修正されたことを独自に検証することはまだできていないと述べています。
それでも、Red Balloon Securityの研究者らは、シーメンスがデバイスに改ざんがあったかどうかをチェックするためのPLC用のファームウェア監査ツールをリリースすることは可能だろうと述べている。 脆弱性は影響を受けるデバイス上で存続するため、このような機能により、S7-1500 所有者は PLC をより詳細に把握し、不審なアクティビティを監視できるようになります。
「これは同じ映画ですが、別の日が違うだけです」とレッド・バルーンのキュイは言う。 「非常に複雑で風変わりなハードウェア セキュリティは全体的なセキュリティを向上させますか? まあ、正しく行えば役立つかもしれませんが、正しくやっている人間を見たことがありません。間違ったやり方をすると、常に両刃の剣になります。」 ――そしてその剣の刃は非常に鋭いです。」
シーメンスは、新しいモデルで S7-1500 の脆弱性に対処していると述べていますが、世界中の産業制御および重要なインフラストラクチャ システムに脆弱な 1500 が多数存在しており、これらのユニットは数十年にわたって使用され続けることになります。
「シーメンスは、これは修正されないと述べているので、これは単なるゼロデイではなく、脆弱なすべての 1500 がサービスを停止するまで、これは永遠に続くことになります」と崔氏は言う。 「これを放置しておくと危険かもしれません。」