三菱電機株式会社は、ホワイトハッカー視点で機密情報の奪取可否確認など「ペネトレーションテスト」の目的に応じた攻撃シナリオを自動生成し、その有効性に評価値を付けて提案するペネトレーションテスト支援ツール「CATSploit(キャッツプロイト)」を世界で初めて開発したことを発表した。
ホワイトハッカー視点で攻撃シナリオ作成!三菱電機「CATSploit」を世界で初めて開発
近年の急速なAI・データ利活用の進展により、社会インフラや工場機器などの制御システムがネットワークに接続されるようになり、制御システムを狙ったサイバー攻撃のリスクが高まっている。
サイバー攻撃を受けると、停電や公共交通機関の運行停止など社会インフラの停止に繋がる恐れがあることから、制御システムにおけるセキュリティー対策は急務だ。
また、ISA/IEC 62443(では、システムや機器が受けるサイバー攻撃や実装・設定上のミスに起因する脆弱性への対策として、ソフトウエアに無効・不正な入力を与えることで、ソフトウエアの欠陥や脆弱性を発見する「ファジングテスト」や、システムや装置に対して実際に攻撃を行うことで、侵入など不正アクセスが出来るか確認する「ペネトレーションテスト」などのセキュリティーテストを実施することを要求している。
しかし、ペネトレーションテストはホワイトハッカーが実際にシステムや製品を攻撃することで脆弱性の有無を確認する試験であり、高度な専門知識が必要となることに加えて、ホワイトハッカーが希少な人材であるため「容易に実施出来ない」という課題があった。
三菱電機は今回、ホワイトハッカーがテスト対象のシステムや製品に対して「攻撃成功の可能性」「攻撃の発見されにくさ」「与える影響の大きさ」の視点で手段を選択して攻撃を仕掛けている点に着目。
この特徴を用いて、攻撃シナリオを選択するために各攻撃手段の有効性を表す評価値が一覧で表示されるペネトレーションテスト支援ツールを開発したことを発表した。
本開発成果の詳細は、ロンドンで12月6日から7日まで開催される「Black Hat Europe 2023 Arsenal」で、12月6日(現地時間11時)に発表する予定となっている。
「CATSploit」の特長
●1:ホワイトハッカー視点で、攻撃シナリオを自動生成
・ホワイトハッカーが攻撃手段を選択する際に「攻撃成功の可能性」「攻撃の発見されにくさ」「与える影響の大きさ」を意識することに着目し、テストの目的を入力することで目的達成のために必要な攻撃手段の実施手順を示した攻撃シナリオを自動で生成。
●2:ホワイトハッカー視点で攻撃シナリオの有効性を評価することで、最適なペネトレーションテストが容易に実施可能
・三菱電機独自のCATS法の採用により、ホワイトハッカー視点で各攻撃手段の有効性を表す評価値を算出、攻撃シナリオを一覧で提示することで評価値の高い攻撃シナリオの選択が可能。
・評価時にはOSやアプリケーションのバージョン、セキュリティー監視機器の有無に関するシステム情報だけでなく、不足するシステム情報も考慮して評価値に反映。攻撃者の視点により近い評価を実現する。
・自動でホワイトハッカー視点での評価を可能にしたことで、高度な専門知識を持っていないセキュリティーエンジニアでも容易にペネトレーションテストを実施することが可能。
近年多数のサイバー攻撃による被害が報じられているが、制御系システムへのハッキングは工場やインフラがストップしてしまうため、甚大な被害が出る可能性がある。
あらゆるものへのハッキング対策は急務だ。より高いテストをおこなってセキュリティを高めることが出来る「CATSploit」に興味がある方は、三菱電機へ問い合わせてみてはいかがだろうか。
三菱電機株式会社 情報技術総合研究所
住所:〒247-8501 神奈川県鎌倉市大船五丁目1番1号
問い合わせ:https://www.MitsubishiElectric.co.jp/corporate/randd/inquiry/index_it.html
URL:https://www.mitsubishielectric.co.jp/