忍者ブログ

近代科学を切開する

   

産業プラントを狙ったマルウェアの脅威、その手口が明らかに──迫り来る「インフラ危機」の実態

中東の産業プラントを停止させたマルウェア「Triton」の概要が明らかになり始め、送電網や発電所、石油プラントといった重要な社会インフラがさらされている脅威の実態が浮き彫りになってきた。国境をまたいだ重大な課題に対して、いかに対処すべきなのか。
以下「wired.jp」(リンク)より引用します。

■ ■ ■

どこの産業プラントがTritonのマルウェアに攻撃されたかは、いまだに定かではない。しかし新たに発表された詳細は、この攻撃がいかに危険なものになりうるかを示している。
石油やガスなどのプラントや工場などを制御するシステムへのサイバー攻撃が、極めて重要な社会インフラにとって新たな脅威になりつつある。

ある中東の工場の制御システムがマルウェアによる攻撃を受けて停止したと、複数のセキュリティ企業が2017年12月に報告した。この攻撃で使われたマルウェア「Triton」(別名「Trisis」)を分析したところ、データの改ざんに対してプラントとその緊急停止機能が、いかに脆弱であるかが浮き彫りになったのだ。

2018年1月18日(米国時間)に開催されたセキュリティカンファレンス「S4」では、標的となった重電メーカーのシュナイダー・エレクトリックの研究者たちが、Tritonについての詳しい分析をプレゼンした。同社へのサイバー攻撃は、産業制御システムを狙う大規模な攻撃としては、2010年にイランの核施設に対して使われた「Stuxnet」や、2015年と16年にウクライナで停電を引き起こしたマルウェアに続くものだ。

未知の脆弱性を悪用

シュナイダー・エレクトリックの研究者らによると、セキュリティプロセスの欠陥によって、プラントの一部の部署と安全制御ネットワークがアクセス可能になっていた。このためハッカーたちは、まずこの脆弱性を突いてプラントにマルウェアを仕掛けることに成功した。

同社の研究者たちは、侵入の次に行われた攻撃についての重要な情報を2件発表した。ひとつは、シュナイダー・エレクトリックの顧客に対する攻撃のなかで、同社の安全システム「Triconex Tricon」のファームウェアについて、修正プログラムが提供されていなかった未知の脆弱性が悪用されたことだ。

ハッカーたちはそのうえで、侵入の第2段階として、遠隔アクセスできるトロイの木馬を展開した。これは、制御システムを狙ったマルウェアとしては初めてのことだった。

このマルウェアは、Triconexのファームウェアの脆弱性を標的にしてシステムを操作する。設定変更と命令実行の能力を徐々に高め、そのうえで攻撃者からの遠隔指令を待つリモートアクセスツールを設置するのだという。

シュナイダー・エレクトリックのカスタマーアドヴァイザリーには次のように書かれている。「シュナイダー・エレクトリックは広範な調査のなかで、Triconのファームウェアに脆弱性があることを突き止めました。この脆弱性は、Triconの古いヴァージョンの一部に限定されるものですが、複雑なマルウェア汚染シナリオに悪用されたのです(中略)。このインシデントは、単一の顧客のTriconex Tricon安全停止システムに影響がありました」

ハッカーたちはこのTriton攻撃で、緊急停止プロトコルを操作してシステムを稼働させたまま、さらに深くまで侵入して、コントロールできる範囲を拡大するつもりだったようだ。プラントの安全停止機能を無効にできれば、マルウェアは好きなだけシステムを破壊できる。

(中略)

セキュリティ業界全体が協力する必要性

Tritonは、国が関与した高度なハッカーによる仕事である可能性が高いが、具体的にどの国の仕業なのかについて研究者たちは慎重になっている。セキュリティ企業FireEyeと同時にTritonの分析を発表したDragosは12月、攻撃は中東のプラントで起きたと報告したが、シュナイダー・エレクトリックは狙われたプラントや場所については詳細を明かそうとしなかった。

シュナイダー・エレクトリックが顧客向けサイトで説明したところによると、攻撃はTriconexの古いファームウェアであるヴァージョン10.3を悪用したものであり、Tritonによる攻撃を緩和するため「ヴァージョン10」以降すべてに対応した修正プログラムの開発に取り組んでいるという。また2月には、Tritonを検知して駆除するツールを公開する予定だ。さらに修正プログラムが準備できたら、ファームウェアの修正を適切に実施できるよう支援するため、ITサポートの要員をクライアントに派遣するとしている。

アナリストたちは、シュナイダー・エレクトリックの対応と透明性をおおむね支持し、この種の脆弱性への対処にはセキュリティ業界全体が国を超えて広く協力する必要があると強調している。しかし、Tritonの教訓はそれだけではない。あらゆる産業システムと組み込みデヴァイスに、さらにしっかりした機密保持が必要であるということだ。

こうしたプラットフォームを狙うマルウェアはこれまでは稀だったが、次第に増えてきている。重要な社会インフラは、こうした事態に備える必要があるのだ。




末廣大地
PR

COMMENT

NAME
TITLE
MAIL(非公開)
URL
EMOJI
Vodafone絵文字 i-mode絵文字 Ezweb絵文字
COMMENT
PASS(コメント編集に必須です)
SECRET
管理人のみ閲覧できます

ランキング

にほんブログ村 科学ブログへ お勧めサイトランキングへ

カウンター

カレンダー

04 2018/05 06
S M T W T F S
2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18
20 22 23 24 25 26
27 28 29 30 31

カテゴリー

ブログ内検索

バーコード

P R

Copyright ©  -- 近代科学を切開する --  All Rights Reserved
Design by CriCri / Photo by Geralt / powered by NINJA TOOLS / 忍者ブログ / [PR]