サイバー攻撃による大規模停電を防ぐための「積極的な犯罪科学捜査手法」


SRI主導のチーム、電力網に対するサイバー攻撃を診断・対応するための「TIGR」を開発


ハッカーが米国のパワーグリッド(送配電網)や石油パイプラインを制御するという発想はスパイ映画の筋書きのように感じられるかもしれません。ですが、このような脅威はまさに現実のものであり、米国国防高等研究計画局(DARPA)はパワーグリッドがサイバー攻撃を受けた時に初期対応者が迅速に回復・復旧作業を行えるようなテクノロジーを設計するよう、2016年にSRIインターナショナルとその提携組織にとの間で730万米ドルの契約を締結しました。

その4年後に完成したのが、脅威に対するインテリジェンスグリッド復旧(TIGR : Threat Intelligence Grid Recovery)パッケージです。「TIGR」は頑丈なケースに入ったバッテリー式のポータブルデバイスで、軽量センサーや機械学習アルゴリズムを採用しており、サイバー攻撃を現場で診断することが可能です。

「TIGRのプロジェクトはまさに、産業用制御システム(ICS: Industrial Control System)コンピューターにおいて『積極的な犯罪科学捜査』と名付けた手法を支援が可能か挑戦したものでした」とSRIのPrincipal Computer Scientistであり、DARPAの資金援助を受けている迅速な攻撃検出、分離、特性評価システム」(Rapid Attack Detection, Isolation and Characterization Systems (RADICS)プログラム主任研究員でもあるMichael Locasto博士は述べています。

「積極的な犯罪科学捜査」という表現では、警察当局が証拠を保全して証拠写真を撮影するようなイメージを抱くかもしれません。しかしそれは、全体のわずか一部にすぎません。サイバーセキュリティの世界でいうところの「対応」には、被害を受けたデバイスや停電など遮断されたサービスの迅速なトリアージも含まれます。犯罪を捜査すると同時に、リアルタイムで犯罪を阻止するというイメージです。

画像1
出典:DARPA

アナログシステムとデジタルシステムの橋渡し

送配電網を監視して制御するパッチワーク状のシステムを保護することは、新しいアンチウイルスソフトの設計などと違って容易ではありません。米国のエネルギーグリッドを構成する5万5,000か所の変電所と16万マイル(約25万7,495キロメートル)に及ぶ送電線を流れる電気を集中管理するコンピューターシステムは存在しないのです。

その代わり、デジタルとアナログのハイブリッドな制御システムがあるのですが、デジタル世界の標準ルールが当てはまらないものとなっています。電力システムを監視・制御しているレガシーソフトやハードを、デジタルの制御ネットワークに接続することは非常に難しいのです。また、地下埋設や遠隔地への設置が多いことから、インフラ自体へのアクセスも非常に困難となっています。

パワーグリッドに採用されている産業用制御システム(ICS)は、送電線に木枝がひっかかるというような通常範囲の異常を判断するには十分な精度はありますが、侵入者がこれを攻撃して、広範囲の停電や大惨事となるような停電を引き起こす可能性があります。そしてハッカーがいったん電力制御システムの中に身をひそめると、既存の「特別な目的のある」独自ハードウェアが障害となり、排除するのが非常に難しいのです。

「これらの要素全てが、この課題を大変難しいものにしています」とLocasto博士は述べています。

画像2
出典:DARPA

全国の重要ライフラインはリスクにさらされている

2015年12月、ウクライナで6時間にわたり発生した停電は約25万人もの人々に影響がおよび、この停電はハッカーが国のパワーグリッドに対するサイバー攻撃に成功した世界初のケースとなりました。昨年は、サイバー犯罪者がダムなどライフラインに直結する小規模のインフラ施設への攻撃を10回以上も行っています。

「私はこの4年間、これがいかに重要であるかを訴えています。というのも、このようなことが起これば、たとえ一部であっても米軍が世界中に展開する軍事力を発揮する機能が失われるのです。」とLocasto博士は語りました。

Locasto博士によると、ハッカーがパワーグリッドに侵入してマルウェアを感染させるという脅威があることから、DARPAは、オフィスにあるコンピューターではなく、現場で直接対応してサイバー攻撃を検知し、評価するソリューションを開発するプログラムを立ち上げたとのことです。

「TIGR」はフィールド展開の準備ができていると自ら証明している

実世界でのTIGRの設計・検証にあたり、このテクノロジーは携帯可能かつ幅広い機器に適応可能でなければなりませんでした。例えば、頑丈なケースに入ったバッテリー電源式のデバイスには、軍事グレードのバッテリーが格納されており、2日以上の連続作動が可能であると確認されています。軽量センサーは電力制御システムに接続してシステムの様々な動態を監視し、TIGRの人工知能に何パケットものデータを送信します。この人工知能はデータを分析し、モデリングをして復旧を支援します。

Locasto博士は、次のように説明します。「端的にいえば、この箱は最重要要素のインテグリティ(整合性)をまさに検証しているのです。」TIGRの「積極的な犯罪科学捜査手法」は制御システムの内部プログラムを徹底的に検索して異常を検知し、データストレージとメモリのインテグリティを確認すると同時にパワーグリッドとの送受信コミュニケーションが侵害されていないかを検証します。

テクノロジー自体は非常に複雑なものですが、TIGRはサイバー攻撃に対応するコンピューターサイエンティストではない初期対応者の作業を劇的に単純化します。コンセプトは、州兵などの初期対応者がTIGRの箱をいくつかパワーグリッドの変電所に設置するということです。このデバイスがグリッドからの情報を監視・分析し、グリッド復旧に不可欠な手掛かりが得られます。

「TIGR」を現実世界に解き放つ

SRI主導のチームがTIGRの3D設計、製作、実演展示にかけた期間はわずか3カ月でした。SRIのComputer Science Laboratoryに所属するSenior Technical DirectorのUlf Lindqvist氏は、「提案初期の頃は、TIGRボックスの制作についてそれほど熟慮したわけではなかったのですが、無事完成させることができました。完成に向けて必要とされる柔軟性とノウハウがSRIには備わっていたのです。」と述べています。

TIGRはSRIの技術的な専門知識を示しただけでなく、多彩な分野で構成されるチームを率いていく能力も示したのです。RADICSプログラムでSRIのパートナーとなったのは、コンソリデーテッド・エジソン(Con Edison)、ダートマス・カレッジ(Dartmouth College)、ニューヨーク大学(New York University)、米国電力研究所(EPRI)、ナーフ・インダストリーズ(Narf Industries)などです。

このプログラムは段階的に縮小していますが、SRIのチームは現在、TIGRテクノロジー独自の犯罪科学捜査手法の恩恵を享受できるであろう、電力会社やその他潜在的なユーザーに展開する方法を検討しています。グリッド機器のメーカーは、自社の繊細な機器にサードパーティのアプリを採用することを躊躇することが多々あります。しかし、Lindqvist氏はSRIとDARPA双方のTIGRの評価が高まれば、他に類を見ない診断ツールとしての潜在能力を認めてもらえると考えています。Lindqvist氏はまた、メリーランド州、デラウェア州、ニュージャージー州、ペンシルベニア州でサイバー保護を担当する州兵の部隊と検討を重ねています。

4年にわたり、ICSとサイバーセキュリティの表と裏を見てきたLindqvist氏とそのチームは、この新しいテクノロジーを他の民間セクターや自治体に応用させたいと切に願っています。

「この種の能力に対する需要は必ず存在します。例をあげると、これらのセンサーはより複雑なコンピューティング環境のほうがよく作動することから、クラウドに移行するときに採用することも可能です。」とLindqvistは述べています。TIGRの能力は、米国国防省の兵器分類プラットフォームにも価値を与えることができるだろうと付け加えてもいます。

Lindqvist氏をはじめとするSRIの科学者たちは、「次は何をしようか、価値のあるインパクトを与えるにはどうすれば良いのか、他にどのような研究をすれば良いのか」を日々の業務の中で問いかけているのです。


Read more from SRI