業務執行役員 マーケティング本部長
はじめに
皆さま、こんにちは。今回は産業用制御システムを標的とした新たなマルウェアの登場について解説したいと思います。OTセキュリティに関わっていらっしゃる方であれば「Stuxnet」(スタックスネット)という核燃料施設のウラン濃縮用遠心分離機を標的としたマルウェアの名前を耳にしたことがあるかもしれません。これは2010年9月にイランの核燃料施設に何らかの方法でも持ち込まれ、マルウェア感染したコンピュータによって、遠心分離機を制御するPLCの設定ロジックが改ざんされ、約8,400台の遠心分離機のうち、約1,000台が稼働不能に陥り、操業が一時停止する事態となったインシデントであり、世界で最初に産業用制御システムを攻撃したマルウェアとして知られています。一説には米国とイスラエルがイランの核開発を妨害・遅延させるために作成されたマルウェアであると言われています。Stuxnetによるインシデント以降も、ウクライナの電力会社を標的としたBlackEnergyや中東の石油会社を標的にしたTRITONなど産業制御システムに対する標的型攻撃に使われたマルウェアが確認されています。
産業用制御システムを標的にした攻撃は実際に増えているのか?
当社のOT/ICSセキュリティレポート 2024の調査結果によると、OTサイバーセキュリティのインシデント経験企業の98%がITシステム経由でOTシステムが攻撃を受けた経験があると回答しており、OT環境を狙った攻撃はわずか2%という結果でした。これは、生産性・運用性向上を目的としたITシステムとOTシステムの融合・統合が進んだ結果、認証情報の漏洩やファイアーウォールの誤設定等により、ITシステムとOTシステム統合の脆弱な部分が悪用され、ITシステム経由でOT環境が攻撃を受けた、もしくは、ITシステムが攻撃を受け、OTシステムの運用に影響を与える結果となったことが読み取れます。Stuxnetのような産業用制御システムを直接的に攻撃するマルウェアが爆発的に増加しているとは言えない状況ですが、昨今の地政学的緊張の高まりにより、国家支援型サイバー攻撃グループが政治的・軍事的優位性を得るために、特定の重要インフラを標的に攻撃を強化する可能性は否めません。
「Q:今年発生したサイバーインシデントは、ITシステム経由でOTシステムに影響が及んだものですか?」
産業用制御システムを標的とした新たなマルウェアの登場
上述した、地政学的緊張の高まりによる、国家支援型サイバー攻撃グループの活動は活発化しており、いくつかの新しい産業用制御システムを標的としたマルウェアが確認されています。こうした産業用制御システムを標的としたマルウェアは、国家支援型サイバー攻撃グループが、政治的・軍事的優位性を得ることを目的に、民間の重要インフラに対する攻撃に利用されることが想定されます。ここでは主に2024年以降に確認された産業用制御システムを標的とした5つのマルウェアを紹介します。
1.Fuxnet ICSマルウェア
- FuxnetはRS485, Meter-Busなどのシリアル・バス・プロトコルを使用するセンサーゲートウェイを主な標的とする。
- ウクライナ政府の支援を受けるハッカー集団「Blackjack」は、モスクワの上下水道処理システム管理企業の約1,700個のセンサーゲートウェイを侵害し、産業用センサー及び監視インフラを無効にする攻撃を展開した。
- 攻撃手順としては、①センサーゲートウェイの重要ファイルを削除 ②リモートアクセスサービスを停止 ③ルーティングテーブル情報を破壊 ④デバイスのファームウェアを再プログラミング ⑤NANDメモリに物理的な損害を与える ⑥センサーゲートウェイにランダムデータを送信することで過負荷を与え、センサーを実質上無効化。
- Fuxnetは産業用センサーや監視インフラの運用を妨害する能力を実証しているため、製造業や重要インフラ運営者にとって重大なリスクとなる可能性がある。
ICSマルウェア『Fuxnet』に対する防御手法とは
「Fuxnet」という破壊的な新しいICSマルウェアに関するインシデントはウクライナのセキュリティ機関と関係のあるハッカーグループ『Blackjack』が関わっていると言われています。そこで本記事では、ICSマルウェア「Fuxnet」はどういった攻撃手法を持つのか、また「Fuxnet」の防御方法について解説します。
2.FrostyGoop ICSマルウェア
- FrostyGoopは産業用プロトコルとして汎用的なModbusプロトコルを使用した産業制御システムを標的とするように設計
- 2024年1月、ウクライナの公営電力会社のセントラルヒーティング設備を攻撃し、真冬に600棟以上のアパートの暖房サービスが2日間停止し、地域住民10万人以上に影響が及んだ。
- 攻撃者はルータの脆弱性を悪用した初期侵入で認証情報を窃取し、ボイラープラントのプロセスを制御するコントローラに不正な測定値を送信することで、システム誤作動を引き起こし、セントラルヒーティングシステムを停止させることに成功した。
自動車業界におけるCPS保護のためのサイバーセキュリティ対策
自動車業界とそのサプライチェーンが直面するサイバー脅威のリスク、規制の新たな展開を探り、自動車製造におけるサイバーセキュリティのベストプラクティスをご紹介します。
3.Chaya_003
- Engineering Workstation(EWS)で実行されるPLCを設計・管理するためのエンジニアリングツールであるSIEMENS TIA Portalプロセスやその他の関連するプロセスを終了するように設計され、また、Discord Webhook(窃取した情報をDiscordサーバへ転送する手法)を利用し、Botを使わずに外部通信が行えるようにするなど、プロセス中断とシステム偵察を組み合わせた攻撃を展開。
- バイナリファイルには「Isass.exe」と「elsass.exe」という名前が付けられており、Windows正規システムプロセスを模倣し、ウイルス対策ソリューションによる監視や検知を回避しようと試みたと考えられる。
4.Ramnitワーム
- Ramnitは2010年に初めて発見されたWindows向けマルウェアで、当初はファイル感染型ウイルスとして登場したが、現在はオンラインバンキングの認証情報や個人情報を窃取するバンキング型トロイの木馬(Banker Trojan)として活動。
- 近年ではC2サーバ(Command and Control Server)と連携し、プラグインのダウンロード、遠隔操作等が可能なモジュール式プラットフォームに進化。
- 2024年にPLC向けのエンジニアリングソフトウェアであるMITSUBISHI GX Worksでの感染が報告されている。これは意図的な標的型攻撃ではなく、業務端末がRamnitに感染し、制御システム開発環境に影響が及んだ偶発的なケースと考えられる。
5.IOCONTROL
- このマルウェアはルータ、PLC、HMI、IPカメラ、FirewallなどのIoTおよびOTデバイスの脆弱性を悪用し、産業用IoTで一般的に使用されているMQTTプロトコルを使用し、攻撃者のC2サーバと通信し、リモートコード実行等の攻撃を実行。
- イランの攻撃グループは、IOCONTROLを使用し、米国やイスラエルのIoT/OTデバイスを標的とした攻撃活動を展開
- 国家支援型攻撃者が地政学的対立のもと、民間の重要インフラを攻撃するために使用される可能性がある。
おわりに
今回は産業用制御システム向けに設計されたICSマルウェアを中心に紹介させていただきました。重要インフラや政府機関のサービスは、それ自体が国民生活・経済社会活動を支える基盤であり、運用の継続性に支障が生じると国民の安全・安心に直接的かつ重大な悪影響が生じる可能性があります。今後も地政学的緊張の高まりを受け、国家支援型攻撃者が、潤沢な資金とリソースをもとに、経済的・政治的優位性を得るために、新たなICSマルウェアを開発することで、同様の脅威が増加・多様化していくことが予想されます。一般製造業等の重要インフラ事業者以外はこうしたICSマルウェアの標的になり得ないのかというと、そうとは言い切れません。攻撃者が過去の標的型攻撃の成功パターンや手法を模倣・発展させて新たな攻撃を民間事業者に仕掛けていくことも想定されます。産業制御システムに特化した攻撃手法やインシデントを対岸の火事と捉えずに、攻撃意図や攻撃手法を理解し、有事に備え、自社の事業環境に置きかえた際にどのような対策や準備が必要かを日々考えることが重要であると考えます。
