採用情報

お問い合わせ

プレスリリース

  1. HOME
  2. プレスリリース
  3. 2018年
  4. オフィスビルへのサイバー攻撃を想定した実証実験により、 建物設備システムにおける脆弱性を発見

オフィスビルへのサイバー攻撃を想定した実証実験により、 建物設備システムにおける脆弱性を発見

~ビルディングオートメーションシステム向けのセキュリティソリューションの開発を推進~

2018 年 4 月 10 日
ソフトバンク・テクノロジー株式会社
サイバートラスト株式会社

ソフトバンク・テクノロジー株式会社(本社:東京都新宿区、代表取締役社長:阿多 親市、以下SBT)とサイバートラスト株式会社(本社:東京都新宿区、代表取締役社長:眞柄 泰利、以下サイバートラスト)は、株式会社竹中工務店(本社:大阪市中央区、社長:宮下正裕、以下竹中工務店)と共同でビルディングオートメーションシステム(以下、BA と称する)※1における設備環境を対象としたセキュリティ脆弱性診断の実証実験を実施しました※2

その結果、社内情報(OA)系ネットワーク経由ならびに、閉域網での運用を前提とした制御(BA)ネットワーク自体からのサイバー攻撃では脆弱性が検出されました。これにより、制御(BA)ネットワーク上のサーバ(例えば、空調サブシステム等)類や機器への不正侵入、またはマルウェアを感染させることで電力システム、空調システム、照明システムなどをダウンさせるといった被害を及ぼす可能性があることが判明しました。

今回の結果を受け、SBT とサイバートラストの 2 社は竹中工務店と共同で、BA 設備環境へのセキュリティ対策として、社内情報(OA)ネットワーク経由ならびに、閉域網での運用を前提とした制御(BA)ネットワーク自体からの侵入に加えて、機器への物理的な攻撃も想定した対策を講じる必要があることを踏まえて、BA 向けセキュリティソリューションの開発を推進します。

penetration-test01.png

実証実験結果イメージ図

■実証実験結果

本実証実験で実施したペネトレーションテスト※3の結果は以下のとおりです。

  1. 社内情報(OA)系ネットワークから閉域網での運用を前提とした制御(BA)ネットワークへの侵入可否:
    実証実験では、社内情報(OA)系ネットワークから閉域網での運用を前提とした制御(BA)ネットワークへの侵入はできなかったが、時間を掛けて攻撃を実施することで、侵入される可能性があることが判明しました。
  2. 閉域網での運用を前提とした制御(BA)ネットワーク上のサーバ/機器に対しての侵入、攻撃:
    制御(BA)ネットワークにアクセスがあった場合、対象システムが被害を受ける可能性があることが判明しました。
  3. 設備を制御するコントローラ機器自体の評価:
    省エネモニター(ディスプレイ)などの攻撃を受けることを前提に設計されていない機器に、一部セキュリティ機能が乏しい部分があり、これを踏み台にされることによりビル制御機器に被害を及ぼす可能性があることが判明しました。

■今後の展開

本実証実験の結果をもとに、BA/FA(Factory Automation)/PA(Process Automation)向け設備セキュリティソリューションの共同開発を推進し、新設・既設を問わず、BA をはじめとした EMS(エネルギーマネジメントシステム)市場や Industrie 4.0 を前提とした Smart Factory 市場におけるセキュリティ意識の向上に努め、安心・安全の高いオートメーション化を推進していきます。


※1
ビルディングオートメーションシステム:ビルにある多種多様な設備(電力設備や空調設備、防災・防犯設備、エレベーターなどの機械設備)の機器の監視・管理・制御などを総合的に行う情報システム。機器の運用状況の監視や運用情報の記録・管理を統合的に行うことで、ビル内の安全性確保や、省エネの促進、防犯強化や管理業務の省力化などを実現可能にします。
※2
本実証実験では、サイバートラストと「IoT/制御システムペネトレーションテスト」を提供する株式会社ベルウクリエイティブ(本社:東京都中央区日本橋、代表取締役:大和田 利郎)が共同でセキュリティ脆弱性診断を実施しています。
※3
ペネトレーションテスト:ネットワークに接続されているシステムに対して、様々な手法で侵入を試みるテスト。主な調査項目として、DoS 攻撃(サービス拒否攻撃)を受けた際の耐久レベルや、実際に侵入された場合に他のコンピュータや外部ネットワークへ与える影響度合いなどがあります。

サイバートラスト株式会社について

2017 年 10 月、旧サイバートラストとミラクル・リナックスが合併し、新生・サイバートラスト株式会社が誕生しました。新生・サイバートラストでは、旧サイバートラストの認証事業とミラクル・リナックスの組込み Linux 事業の組み合わせで、IoT をはじめとする先端分野における新たな価値を生み出す先駆者として、専門性・中立性の高い技術・サービスを提供いたします。

当リリースに関するお問い合わせ先

サイバートラスト株式会社
広報担当:永来・椎名
TEL:03-6205-9530
メール:press@cybertrust.co.jp


参考

■実証実験概要

本実証実験では、竹中工務店所有ビルの制御システム関連装置や社内システムから制御(BA)ネットワークへの侵入を試み、不正アクセスやデータ改ざん、サービス停止を想定したペネトレーションテストを行いました。
不正アクセス、情報漏えい、データ改ざん、サービス停止攻撃などの脅威から、オフィスビルに設置されているデバイスや設備を制御するコントローラ機器、ネットワークに潜む脆弱性を検出し、実際に侵入、攻撃を試みた上で、悪用の可能性及びオフィスビルのリスクについても調査しました。
今回の結果を受け、竹中工務店では対策を検討・実施しています。

<ペネトレーションテスト対象及び観点>

  1. 社内情報(OA)系ネットワークから閉域網での運用を前提とした制御(BA)ネットワークへの侵入可否
  2. 閉域網での運用を前提とした制御(BA)ネットワーク上のサーバ/機器に対しての侵入、攻撃
  3. 設備を制御するコントローラ機器自体の評価

<実施期間>

 2017 年 11 月~2017 年 12 月末

 

office-building-security-figure.png

脆弱性診断のイメージ図


※ 本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。

プレスリリース
サイバートラストの「iTrust リモート署名サービス」が機能強化し XAdES に対応
サイバートラストの「iTrust リモート署名サービス」が機能強化し XAdES に対応
2024 年 04 月 09 日
端末認証サービス「サイバートラスト デバイスID」がキヤノン ITS のクラウド型統合 ID 管理サービスと連携
端末認証サービス「サイバートラスト デバイスID」がキヤノン ITS のクラウド型統合 ID 管理サービスと連携
2024 年 04 月 03 日
サイバートラスト、スマホ JPKI に対応した Web ブラウザ連携での公的個人認証による本人確認に対応
サイバートラスト、スマホ JPKI に対応した Web ブラウザ連携での公的個人認証による本人確認に対応
2024 年 03 月 27 日
NEC とサイバートラスト、デジタルトラストの推進に向け協業を強化
NEC とサイバートラスト、デジタルトラストの推進に向け協業を強化
2024 年 03 月 21 日
サイバートラストの企業向けシステムバックアップ製品の最新版がレノボの ThinkAgile HX シリーズ / MX 認定ノードに対応
サイバートラストの企業向けシステムバックアップ製品の最新版がレノボの ThinkAgile HX シリーズ / MX 認定ノードに対応
2024 年 03 月 12 日
AlmaLinux に対応したクラスタリングソフトウェアの最新版を提供開始
AlmaLinux に対応したクラスタリングソフトウェアの最新版を提供開始
2024 年 03 月 06 日
お知らせ
【ウェビナー】2024 年 4 月新法施行 ~知っておきたい ウェブアクセシビリティの基礎知識~【5 月14 日開催】
イベント・セミナー
【ウェビナー】2024 年 4 月新法施行 ~知っておきたい ウェブアクセシビリティの基礎知識~【5 月14 日開催】
2024 年 04 月 15 日
【ウェビナー】Linux を無停止でアップデート! Linux ライブパッチ 入門セミナー(無償トライアル付き)【5 月 15 日開催】
イベント・セミナー
【ウェビナー】Linux を無停止でアップデート! Linux ライブパッチ 入門セミナー(無償トライアル付き)【5 月 15 日開催】
2024 年 04 月 11 日
LF Resarch 調査レポート「2023年 OSPO および OSS イニシアチブの現状」日本語版の翻訳に協力
お知らせ
LF Resarch 調査レポート「2023年 OSPO および OSS イニシアチブの現状」日本語版の翻訳に協力
2024 年 04 月 09 日
CTJ サムネイル
お知らせ
CVE-2024-3094 XZ Utils の脆弱性について
2024 年 04 月 05 日
国内外で求められる IoT セキュリティの意味合いと信頼性確保の仕組み
お知らせ
国内外で求められる IoT セキュリティの意味合いと信頼性確保の仕組み
2024 年 04 月 05 日
【ウェビナー】被害額から見るサイバー攻撃の実態と対策【4 月 24 日開催】
イベント・セミナー
【ウェビナー】被害額から見るサイバー攻撃の実態と対策【4 月 24 日開催】
2024 年 04 月 05 日
最新 BLOG
2024 年 1〜2 月の脅威動向と代表的な攻撃(後編)
2024 年 1〜2 月の脅威動向と代表的な攻撃(後編)
2024 年 04 月 15 日
学習 e ポータル、校務支援システムのセキュリティリスクと対応急務の対策とは?
学習 e ポータル、校務支援システムのセキュリティリスクと対応急務の対策とは?
2024 年 04 月 12 日
【AWS ALB× デバイス ID】デバイス ID 証明書でクライアント認証してみた
【AWS ALB× デバイス ID】デバイス ID 証明書でクライアント認証してみた
2024 年 03 月 28 日
欧州サイバーレジリエンス法案がもたらす影響とは? IoT 機器が狙われる理由と CRA で押さえておくべき条文
欧州サイバーレジリエンス法案がもたらす影響とは? IoT 機器が狙われる理由と CRA で押さえておくべき条文
2024 年 03 月 26 日
CentOS 7 メンテナンス終了と、従来型 CentOS 完全終了の注意喚起
CentOS 7 メンテナンス終了と、従来型 CentOS 完全終了の注意喚起
2024 年 03 月 26 日
2024 年 1〜2 月の脅威動向と代表的な攻撃(前編)
2024 年 1〜2 月の脅威動向と代表的な攻撃(前編)
2024 年 03 月 26 日
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime