ドイツ原発、燃料棒監視システムにマルウェアが見つかる
「ドイツ原発、燃料棒監視システムにマルウェアが見つかる」の写真・リンク付きの記事はこちら
ミュンヘンからおよそ120km離れた場所にあるグンドレミンゲン原子力発電所で、燃料棒の監視に使われるコンピューターシステムにマルウェアが潜んでいたことがわかった。
見つかったのは、リモートアクセスを実行するトロイの木馬と、ファイルを盗み取るマルウェアの2種類だ。だが幸運なことに、このコンピューターはインターネットに接続されていなかったため、マルウェアが活動を始めることはなかったとロイターは伝えている。
マルウェアが見つかったコンピューターシステムは、ドイツの電力会社RWE Group(RWE)の従業員が使用していたものだ。RWEでは、ドイツ連邦政府の情報技術安全局(BSI)に協力を依頼し、マルウェアの侵入経路の調査と、セキュリティを強化するための取り組みを開始した。
マルウェアのひとつは、2008年に初めて存在が確認されたワーム「Conficker」で、ユーザーの資格情報や個人の金融データ等を盗み出した上で、侵入したコンピューターを「ボット」に変えて分散型サーヴィス拒否(DDoS)攻撃を仕掛けることが可能だ。
システムで見つかったもうひとつのマルウェアは「W32.Ramnit」で、ファイルを盗んだりウェブページにコードを挿入したりして、銀行のデータを収集できるリモートアクセスツールを攻撃者に提供する。
これらのマルウェアに感染していたのは、最後にアップグレードされたのが2008年というこのコンピューターシステムだけではなく、着脱可能なUSBメモリ18個でも発見された。
ConfickerとW32.Ramnitは、どちらもUSBメモリ経由で拡散する。だが、コマンド & コントロール(C & C)ネットワークとやり取りするにはインターネット接続が必要になるため、これらのマルウェアは活動しなかった。また、2つのワームは主に金融詐欺を目的としたワームだったことから、攻撃者が特にこの発電所を狙ったわけではなかったようだ。
だが、標的型攻撃であれば、はるかに破壊力の強いマルウェアを、USBメモリ経由で簡単にシステムへと送り込むことができたはずだ。
実際、米国とイスラエルがイランの核施設を破壊するために開発し、その過程で他国へも流出したとされるマルウェア「スタックスネット」(日本語版記事)は、イランの原子力研究施設内にあった「エアギャップ」ネットワーク(インターネットなど安全性の低いネットワークから物理的に遮断されたネットワーク)に、USBメモリ経由で侵入した。
また、「Flame」や、「ワイパー」と呼ばれるマルウェアの一部も、物理的に遮断されたシステムに、USBメモリ経由で入り込む。
米サイバー緊急対応チーム(US-CERT)は2013年、米国の発電所2カ所において、USBメモリ経由でシステムに侵入したマルウェアが見つかったと報告した。このときには、ひとつの発電所でタービンシステムの一部を停止し、タービン制御系関連の10台のコンピューターからマルウェアを除去する作業を行わなければならなかったという。
※ 英王立国際問題研究所(RIIA)は2015年10月、世界の民間原子力発電所の多くはサイバー攻撃に対して脆弱であるという調査結果を発表している(日本語版記事)。また、韓国当局は2015年3月、北朝鮮が韓国水力原子力発電株式会社(KHNP)にサイバー攻撃を実行してデータを盗んだとする報告書を発表した(日本語版記事)。
