マルウェア「Triton」で工場制御システムが乗っ取られる事例が発生。安全装置作動し操業が一時停止

情報セキュリティ製品を取り扱うFireEyeが、自社のセキュリティサービスを提供している中東の企業に対して外部からのハッキングがあり、コンピューター制御の工場操業システムが停止させられたと報告しました。

ハッキングに使用されたのはTritonと呼ばれるマルウェアで、一般に発電所や自家発設備で使用されるSchneider ElectricのTriconexセーフティテクノロジーが稼働するワークステーションを遠隔操作可能状態に陥れました。
ハッカーグループはこの操業システムに安全上の問題を引き起こそうと操作を加えましたが、システムのインターロックが機能したためフェイルセーフモードとなり、結果として工場全体を一時停止。この間にオペレーターは速やかにマルウェアの侵入を特定しました。

Tritonはかなり洗練されたマルウェアで、この操業システムの非公開プロトコルを使用してシステムを操作、アラートの発報を避けるため障害を発生させたコントローラを正常に見せかけたり、痕跡を隠すためにジャンクデータを書き込んだりしていたとのこと。FireEyeは、正確な攻撃元は把握できないものの、国家がらみの可能性を示唆しています。

ハッカーは、今後は発電所などのインフラを担うプラントを攻撃するだけでなく、プラント設備に物理的損害を発生させるような操業上の操作、インターロックの解除など致命的な変更を加えてくる可能性が考えられます。もし、長期間の機能停止や環境災害につながる事態に追い込まれたならば、それはその地域の生活や経済に大きな打撃を与えるかもしれません。

日本では今年、ランサムウェアの侵入によって工場が停止した事例がありました。しかし金銭目的以外の悪意あるハッカーグループに狙われる可能性もあるならば、もはや企業や政府は事務用コンピューターだけでなく原子力発電所など重要施設のセキュリティ対策も優先的に実施しなければならないのかもしれません。なお外国ではTriton以外にも、これまでにプラント制御システムを狙ったマルウェアの侵入事例が複数発生しています。