オフィスビルへのサイバー攻撃を想定した実証実験により、建物設備システムにおける脆弱性を発見

ビルディングオートメーションシステム向けのセキュリティソリューションの開発を推進


ソフトバンク・テクノロジー株式会社
サイバートラスト株式会社

ソフトバンク・テクノロジー株式会社(本社:東京都新宿区、代表取締役社長:阿多 親市、以下SBT)とサイバートラスト株式会社(本社:東京都新宿区、代表取締役社長:眞柄 泰利、以下サイバートラスト)は、株式会社竹中工務店(本社:大阪市中央区、社長:宮下正裕、以下竹中工務店)と共同でビルディングオートメーションシステム(以下、BAと称する)※1における設備環境を対象としたセキュリティ脆弱性診断の実証実験を実施しました※2。

その結果、社内情報(OA)系ネットワーク経由ならびに、閉域網での運用を前提とした制御(BA)ネットワーク自体からのサイバー攻撃では脆弱性が検出されました。これにより、制御(BA)ネットワーク上のサーバ(例えば、空調サブシステム等)類や機器への不正侵入、またはマルウェアを感染させることで電力システム、空調システム、照明システムなどをダウンさせるといった被害を及ぼす可能性があることが判明しました。

今回の結果を受け、SBTとサイバートラストの2社は竹中工務店と共同で、BA設備環境へのセキュリティ対策として、社内情報(OA)ネットワーク経由ならびに、閉域網での運用を前提とした制御(BA)ネットワーク自体からの侵入に加えて、機器への物理的な攻撃も想定した対策を講じる必要があることを踏まえて、BA向けセキュリティソリューションの開発を推進します。

実証実験結果イメージ図

<実証実験結果イメージ図>

■実証実験結果


本実証実験で実施したペネトレーションテスト※3の結果は以下のとおりです。

  1. 社内情報(OA)系ネットワークから閉域網での運用を前提とした制御(BA)ネットワークへの侵入可否:
    実証実験では、社内情報(OA)系ネットワークから閉域網での運用を前提とした制御(BA)ネットワークへの侵入はできなかったが、時間を掛けて攻撃を実施することで、侵入される可能性があることが判明しました。
  2. 閉域網での運用を前提とした制御(BA)ネットワーク上のサーバ/機器に対しての侵入、攻撃:
    制御(BA)ネットワークにアクセスがあった場合、対象システムが被害を受ける可能性があることが判明しました。
  3. 設備を制御するコントローラ機器自体の評価:
    省エネモニター(ディスプレイ)などの攻撃を受けることを前提に設計されていない機器に、一部セキュリティ機能が乏しい部分があり、これを踏み台にされることによりビル制御機器に被害を及ぼす可能性があることが判明しました。

■今後の展開


本実証実験の結果をもとに、BA/FA(Factory Automation)/PA(Process Automation)向け設備セキュリティソリューションの共同開発を推進し、新設・既設を問わず、BAをはじめとしたEMS(エネルギーマネジメントシステム)市場やIndustrie 4.0を前提としたSmart Factory市場におけるセキュリティ意識の向上に努め、安心・安全の高いオートメーション化を推進していきます。

本件に関する報道機関からの問い合わせ先

○ソフトバンク・テクノロジー株式会社 経営企画部 コーポレートコミュニケーショングループ
Tel:03-6892-3063 / Mail:sbt-pr@tech.softbank.co.jp