Pwn2Ownのハイステークス産業ハッキングコンテストの内幕

火曜日、マイアミのフィルモア・シアターの薄暗い脇室に置かれた小さな青い照明のステージで、3人の男がノートパソコンの前に座り、少人数の観客を見守っていた。そのうち2人は、目の前のスクリーンに表示されるコマンドを緊張した面持ちで確認していた。スティーブン・シーリーとクリス・アナスタシオ、チーム・インサイトと名乗るハッカーデュオは、数センチ離れたデルのノートパソコンを乗っ取ろうとしていた。そのノートパソコンで実行されている特定のソフトウェアを狙っていたのだ。産業用制御システム企業ロックウェル・オートメーションが販売する、いわゆるヒューマン・マシン・インターフェースだ。

ロックウェルのHMIは世界中の産業施設で利用されており、洗車場から原子力発電所まで、あらゆる設備の物理的な操作に使用されています。つまり、ハッカーがHMIを乗っ取れば、非常に危険な行為を行うことができるのです。

5分間のカウントダウンタイマーがスタートしたことを知らせる、かすかなビープ音が鳴った。シーリーはキーボードのエンターキーを押した。ハッカーたちは画面と標的を交互に見渡し、緊張の56秒が過ぎた。そしてついに、二人とも安堵の笑みを浮かべた。シーリーは額の汗を拭う仕草をした。ステージ上の3人目、無愛想な顔つきの禿げ頭であごひげを生やした男が、ヴァンナ・ホワイト風にデルのノートパソコンを回転させ、Microsoftペイントが起動していることを明らかにした。会場は拍手喝采に包まれた。

シーリー氏は舞台を去る際に、この無害なペイントアプリケーションはハッカーが選んだあらゆる悪意あるソフトウェアの代替として機能すると説明した。機器と自動的にやり取りするフル機能のマルウェアであった可能性も、ハッカーが標的のマシン上で手動でコマンドを実行できる基本的な「シェル」であった可能性も十分にあった。重要なのは、インサイトがロックウェルのHMIのバグを悪用していわゆる「リモートコード実行」を実現できることを実証したばかりだったことだ。彼らはネットワーク経由、あるいはインターネット経由で、標的のコンピューター上で望むあらゆるプログラムを実行できた。今回の場合、被害者とのやり取りは一切不要だった。「このマシンは我々がコントロールしている」とシーリー氏は簡潔に述べた。

シーリー氏とアナスタシオ氏は、今週開催された世界最大のハッキングコンテスト「Pwn2Own」の最新ラウンドで、初めてコンピューターの完全乗っ取りを成功させたばかりだった。Pwn2Ownという名前は、ハッカーたちが「pwn」（ハッキングする）したコンピューターを持ち帰ることができることからつけられた。pwnとは、サイバーセキュリティ用語で「ハッキングする」または「コントロールする」という意味だ。

しかし、これは10年以上にわたって開催され、ウェブブラウザから携帯電話、自動車まであらゆるデバイスをハッカーが標的にしてきた過去のPwn2Ownイベントとは異なります。S4産業用制御システムセキュリティカンファレンスで開催されるPwn2Ownマイアミでは、参加者のスキルが初めて産業用制御ソフトウェアに特化して問われます。対象となるのは、物理的な機械に接触するアプリケーションです。侵害は多くの場合、停電から生命を脅かす産業事故に至るまで、壊滅的な影響を及ぼす可能性があります。

デジタルの欠陥、物理的な大混乱

Pwn2Ownの目標は、常にハッキング対象のセキュリティを強化することです。参加者が悪用する秘密の脆弱性は、現場の製品ベンダーに慎重に報告され、パッチがリリースされるまで秘密にされます。今回のコンテストでは、これまで以上に壊滅的な被害をもたらす可能性のある一連のターゲットに焦点を当てています。

これは、産業用制御システムへのハッキングが現実世界でますます顕在化している時期と重なります。2015年と2016年にウクライナの電力会社を襲った停電攻撃、その1年後にサウジアラビアの石油施設の安全システムを無効にするために設計されたTritonマルウェア、そして最近ではイランのハッカーが産業用制御システムのサプライチェーン攻撃を開発しようとしているという兆候など、脅威の深刻さを物語っています。

「これは世界の重要なインフラを動かすソフトウェアです」と、トレンドマイクロの脆弱性調査責任者であり、Pwn2Ownの主催者でもあるブライアン・ゴレンク氏は語る。「国家主導の攻撃から身を守りたいのであれば、脆弱性が実際に悪用される前に、ここで発見したいのです。」

Pwn2Ownが産業用制御システムに新たに焦点を当てたことで、長らくセキュリティ対策が不十分だったソフトウェアに、世間の厳しい目が向けられるようになりました。参加企業のほとんどは通常、セキュリティ研究者にコードを公開しておらず、S4カンファレンスの要請を受けて初めて提供に同意しました（特に、産業用制御システムソフトウェアの大手メーカーであるGEとSiemensは参加していませんでした）。また、これらの企業は独自の「バグ報奨金」制度を設けていないため、セキュリティ研究者は脆弱性を発見するためのアクセスもインセンティブも持っていません。

そのため、Pwn2Ownの参加者には、コンテストのターゲットとなる産業用制御システムソフトウェアを3ヶ月かけて研究し、競争相手に先んじてハッキング技術を開発する時間が与えられたことは重要です。多くのソフトウェアライセンスが数千ドルもかかることを考えると、多くの参加者にとって、これはキャリアの中で初めて産業用制御システムをハッキングするチャンスでした。

3日間のコンテストを通して、参加者は提示された8つの産業用制御システムアプリケーションすべてにハッキングを成功させました。ハッカー参加者は、OPC UAサーバーを除くすべてのターゲットでリモートコード実行に成功しました。OPC UAサーバーに対しては、サービス拒否攻撃によってターゲットソフトウェアをクラッシュさせるのみでした。コンテストのターゲットの中には、複数回ハッキングされたものもあり、複数のチームが同じハッキング可能な脆弱性を発見したり、異なる脆弱性を掘り起こしたりしました。

フルタイムの脆弱性研究者であるシーリー氏は、過去5年間でトレンドマイクロの「ゼロデイ・イニシアチブ」バグ報奨金プログラムに1000件以上のソフトウェアの欠陥を報告してきた。産業用制御システムのソフトウェアは、自分が普段研究しているものよりも「はるかに脆弱」だと感じたという。「今回のコンテストで発見されたバグを考えると、悪意のある人物が望めば大きな被害をもたらす可能性があります」とシーリー氏は語る。「正直言って、かなり恐ろしいことです。」

ハイドラマハッキング

Pwn2Ownでは、標的のソフトウェアを悪用し、被害者のマシン上でシームレスなリモートコード実行を実証できたハッカーに、最高2万5000ドルの賞金が提示されました。最も多くの個人賞を獲得したチームのメンバーには、さらに2万5000ドルのMaster of Pwn賞が授与されます。Pwn2Own初日、Team InciteはRockwell AutomationのHMIを占拠し、早々にリードを奪いました。しかし、主催者が数週間前にトレンドマイクロのZero Day Initiativeに同じ問題が報告されていたことを発見したため、彼らのポイントは無効となりました。研究者は何らかの方法でソフトウェアにアクセスし、報告されたバグはまだ修正されていません。

他の2つのチーム（ドイツのボーフムにあるルール大学の学者と、Flashback Teamとして知られる独立した研究者）は、2つの異なる一般的な産業用ソフトウェアをハッキングし、合計4つの製品の脆弱性を露出させたことで、SeeleyとAnastasioを追い抜いて順位を上げた。その製品は、Rockwell Automationの別のHMIアプリケーション、Iconicsが販売した2つの制御サーバー、そしてInductive Automationが販売した3つ目のサーバーだった。

2日目、シーリー氏とアナスタシオ氏はシュナイダーエレクトリック社が販売する別のHMIへのリモートコード実行を試みたが失敗し、再び窮地に陥った。このHMIは後に別のチームに侵入された。しかし3日目、2人組のチームは巻き返しを見せ、さらに2つのターゲットに対して2つのリモートコード実行を成功させ、さらにサービス拒否攻撃も成功させ、5,000ドルの追加賞金を獲得した。この結果、彼らはボーフム大学の参加者を辛うじて上回るだけの賞金を獲得した。

劇的な瞬間が訪れ、シーリーとアナスタシオは、HMI（ヒューマンマシンインターフェース）や産業用制御コンピューティング機器の設定に使用されるロックウェル・オートメーション社のワークステーションをハッキングしようと試みましたが、当初は失敗に終わりました。カウントダウンの残り時間わずか5秒という中、彼らはハッキング技術の設定問題を解決し、2回目の挑戦で成功させました。これがブザービーターとなり、彼らはマスター・オブ・Pwnのトロフィーを獲得しました。「Pwn2Ownの歴史の中で最も緊迫した瞬間の一つでした」とゴレンクは語ります。

パッチを当てる

ロックウェル・オートメーションのセキュリティ・ポートフォリオ・マネージャー、ロジャー・ヒル氏は、すべてのソフトウェアがハッカーの手に落ちたにもかかわらず、コンテストは肯定的な結果を示したと述べている。「私は潔白を証明するためにここに来たわけではありません。高品質なセキュリティテストを受けるためにここに来たのです」とヒル氏は語る。ヒル氏は、ロックウェルのソフトウェアは場合によってはより安全に構成できたはずだと主張する。コンテストではデフォルト設定が使用されていたが、ロックウェルの顧客が実装できる保護機能、例えば認証レイヤーを追加するCIPセキュリティなどの機能が欠けていたのだ。しかしヒル氏は、ロックウェルの顧客の多くもそうしたセキュリティ対策を講じていないことを認めている。「私たちが最善を尽くしていれば、無傷で済んだかもしれません」とヒル氏は主張する。「しかし、それがほとんどの顧客を代表しているかどうかは分かりません。」

それでも、重要なソフトウェアの欠陥を指摘し、さらには修正プログラムを作成しても、必ずしも根本的な問題が解決されるわけではない。産業施設では、ソフトウェアアップデートの導入によってサービスに支障が出るリスクを冒したくないため、パッチを適用しないことが多いと、産業用制御システムセキュリティ企業Dragosのペネトレーションテスター、エミリー・クローズ氏は指摘する。「8ヶ月後には、その攻撃が明らかになる可能性もある」と、クローズ氏はセキュリティ企業Clarotyのチームがシュナイダーエレクトリックが販売するHMIを、2つの脆弱性を連鎖させてハッキングするのを見た後に語った。「パッチを公開するのは正しいことだが、これは『馬に水辺に連れて行くことはできても、水を飲ませることはできない』という類のものだ」

それでも、クローズ氏は、産業用制御システムのハッキングを大々的に公開することで、重要インフラのソフトウェアは本質的に安全だという認識を払拭できるかもしれないと主張している。むしろ、これらのシステムのユーザーに、単一のソフトウェアコンポーネントに依存しない多層的なセキュリティ、「多層防御」が必要であることを納得してもらうことを期待している。

結局のところ、たった 25,000 ドルの報酬で 2 人のハッカーチームが産業用制御システムソフトウェアのハッキング可能な欠陥を数か月で見つけることができるのであれば、より大きな予算と何年もの期間、そしてはるかに悪意のある意図を持つ国家支援のハッカーでも同じことができるはずです。

WIREDのその他の素晴らしい記事