ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。
博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”ランサムウェアを作った。それがあれば加害者は水道施設や製造工場のような重要なシステムを人質に取ることができる。彼らは、それらのシステムが使っているPLCを狂わすことをねらうだろう。今回のシミュレーションでは、そんな攻撃を想定した”。
それらの施設のシステムには、妨害を防ぐセキュリティ機構は当然あるが、研究者たちの所見では、インターネットに接続されていて、外部からある程度のいたずらのできるPLCが約1400個あった。たった一つのマルウェアが、それらすべてをハックできるだろう、という。
“何がインターネットに接続されているか、に関して、現場は誤解している”、とFormbyは語る。“オペレーターたちは、システムは外部に対して遮断されているから、外部からコントローラにアクセスできない、と信じている。しかし、よく見ると、どこかに、予期せぬ形で接続があるんだ”。
加害者は、フィッシング攻撃でファイヤーウォールをくぐり抜けることさえできれば、施設全体、工場全体のPLCをインターネットに接続させて狂わせることができる。マシンが今たまたま接続していなくても、接続のための能力さえあれば餌食になる。昔は、あらゆるものをリモートでコントロールすることが夢だったから、そんな時代のレガシーのIoTは、わずかなキーボード操作で簡単に殺せる。可能性としての被害の規模は、おそろしく大きい。
“われわれが今回シミュレートしたのは、システムのそういう脆弱な部分にアクセスして水道施設を人質に取り、身代金(ランサム, ransom)を払わないと水に大量の塩素をぶち込むぞ、と脅すようなハッカーだ”、とFormbyは語る。
研究者たちは今日(米国時間2/13)、サンフランシスコで開かれたRSA関連のカンファレンスで、彼らのやったことを説明している。