猛威を振るうサイバー攻撃が、新たな標的を見いだした。工場だ。オフィスと異なり、ネットに常時接続していないから安全という「神話」は崩壊。既に感染は始まっている。今後、IoTが伸展すれば、リスクが一気に顕在化しかねない。

写真=パソコン:村上 昭浩、背景:Getty Images

 日本の工場やプラントの多くは、既にコンピューターウイルスに感染している。表面化していないのは、単に調べていないからだ」。国内製造業に多くの顧客を抱える、大手制御機器メーカーの幹部はため息を漏らす。顧客企業の工場に出向いてセキュリティー状況を診断すると、かなりの割合で異常が見つかるという。

 この幹部が籍を置くメーカーは、プラントや生産ラインの「制御システム」を手掛けている。バルブやポンプのような単純な機器から、ロボットや工作機械に至るまで、様々な装置がスムーズに動くよう管理する「工場の頭脳」だ。

 制御システムは通常、インターネットとは別のネットワークで運用されている。独自の機器を組み合わせて構築するため、工場やプラントごとに千差万別なのが特徴だ。オフィスのようにネットに常時接続しているわけでもないため、サイバー攻撃の標的にはなりにくいとされてきた。

 だが現実には、多くの工場で感染が始まっている。ウイルスに感染したら即座に被害が生じるわけではないが、想定外の事態に直面しているのは事実だ。

鉄鋼や機械など製造業への攻撃が急増
●制御システムを狙ったサイバー攻撃の分野別内訳
出所: 米ICS-CERT 2014年年次レポート
電力会社や水道、鉄道も被害
●重要インフラを狙った主なサイバー攻撃
分野 概要
電力 複数の欧州電力会社が2014年にサイバー攻撃を受け、制御システムを管理するサーバーから情報が漏洩した。攻撃者の意図によっては、深刻な事態に発展した恐れも
核燃料 2010年にイランの核燃料施設が攻撃され、ウラン濃縮用遠心分離機が破壊された。USBメモリー経由で感染。イランの核開発計画が大幅に遅れたとの説も
石油
化学
トルコの石油パイプラインが2008年に爆発。監視カメラの脆弱性を利用して侵入し、制御システムを乗っ取った。パイプライン管内の圧力を高めて爆発を引き起こした
鉄道 2003年に米国で信号や配車をつかさどるシステムがウイルスに感染。ネットワークが途絶し、列車の運行が数時間にわたってできなかった
水道 2001年にオーストラリアの下水処理施設が不正に操作され、海洋に大量の下水が流出した。解雇されたことに反発した元従業員の犯行とされる

 日本年金機構の情報流出をきっかけに、多くの企業がサイバー攻撃の脅威を認識した。個人情報がひとたび漏洩すると対応コストは膨大になり、信用失墜などの悪影響も免れない。

 だが、冒頭の幹部が懸念するのは、“その程度のレベル”の話ではない。人事や経理など企業内のデジタル情報を管理する「情報システム」とは異なり、制御システムは機械や装置といったモノを取り扱う。仮に制御システムが悪意ある攻撃者に支配されたら、人命に関わる重大事故が起きかねない。

 危機はすぐそこまで迫っている。

 警察庁は2015年12月、国内の製造業に対して警告を発した。制御システムで使う専用コンピューター「PLC」を、外部から起動したり停止したりできる攻撃ツールが、インターネット上で公開されたのだ。ツールを悪用してPLCを操り、「システム停止などの不正な制御が行われると甚大な被害が生じる可能性が危惧される」(警察庁)。