産業プラントを狙ったマルウェアの脅威、その手口が明らかに──迫り来る「インフラ危機」の実態
石油やガスなどのプラントや工場などを制御するシステムへのサイバー攻撃が、極めて重要な社会インフラにとって新たな脅威になりつつある。
ある中東の工場の制御システムがマルウェアによる攻撃を受けて停止したと、複数のセキュリティ企業が2017年12月に報告した。この攻撃で使われたマルウェア「Triton」(別名「Trisis」)を分析したところ、データの改ざんに対してプラントとその緊急停止機能が、いかに脆弱であるかが浮き彫りになったのだ。
2018年1月18日(米国時間)に開催されたセキュリティカンファレンス「S4」では、標的となった重電メーカーのシュナイダー・エレクトリックの研究者たちが、Tritonについての詳しい分析をプレゼンした。同社へのサイバー攻撃は、産業制御システムを狙う大規模な攻撃としては、2010年にイランの核施設に対して使われた「Stuxnet[日本語版記事]」や、2015年と16年にウクライナで停電を引き起こした[日本語版記事]マルウェアに続くものだ。
未知の脆弱性を悪用
シュナイダー・エレクトリックの研究者らによると、セキュリティプロセスの欠陥によって、プラントの一部の部署と安全制御ネットワークがアクセス可能になっていた。このためハッカーたちは、まずこの脆弱性を突いてプラントにマルウェアを仕掛けることに成功した。
同社の研究者たちは、侵入の次に行われた攻撃についての重要な情報を2件発表した。ひとつは、シュナイダー・エレクトリックの顧客に対する攻撃のなかで、同社の安全システム「Triconex Tricon」のファームウェアについて、修正プログラムが提供されていなかった未知の脆弱性が悪用されたことだ。
ハッカーたちはそのうえで、侵入の第2段階として、遠隔アクセスできるトロイの木馬を展開した。これは、制御システムを狙ったマルウェアとしては初めてのことだった。
このマルウェアは、Triconexのファームウェアの脆弱性を標的にしてシステムを操作する。設定変更と命令実行の能力を徐々に高め、そのうえで攻撃者からの遠隔指令を待つリモートアクセスツールを設置するのだという。
シュナイダー・エレクトリックのカスタマーアドヴァイザリーには次のように書かれている。「シュナイダー・エレクトリックは広範な調査のなかで、Triconのファームウェアに脆弱性があることを突き止めました。この脆弱性は、Triconの古いヴァージョンの一部に限定されるものですが、複雑なマルウェア汚染シナリオに悪用されたのです(中略)。このインシデントは、単一の顧客のTriconex Tricon安全停止システムに影響がありました」
ハッカーたちはこのTriton攻撃で、緊急停止プロトコルを操作してシステムを稼働させたまま、さらに深くまで侵入して、コントロールできる範囲を拡大するつもりだったようだ。プラントの安全停止機能を無効にできれば、マルウェアは好きなだけシステムを破壊できる。
プラントの不安定化や物理的な破壊は可能
しかし今回の攻撃では、図らずもマルウェアが緊急システム停止を発動させてしまい、そうはならなかった。このため、ハッカーたちが実際に仕掛ける予定だったデータや、攻撃の本当の狙いが何だったのかは、明らかにはなっていない。
Tritonはシステム分析と偵察を実施するため、攻撃者の狙いが被害にあったデータとネットワーク情報だとすれば、それだけで成功だった可能性はある。しかし今回のTritonは、実際のハッカーたちの目的とは関係なく産業システムを攻撃するならば、不安定化や物理的な破壊の方法がいくつもあることを実証している。
廃棄物処理プラントは、不調になれば環境を汚染するかもしれないし、送電網はハッキングされれば停電につながりうる。原子力発電所への攻撃は爆発につながる可能性さえある。
アナリストたちによれば、Tritonは産業制御コミュニティへの重大な警鐘ではあるが、その存在は驚きではないはずだという。中東を中心に、世界中で国家によるハッキングを監視しているトレッドストーン71で最高インテリジェンス責任者を務めるジェフ・バルディンは、「今回のケースが(一部の)技術インフラや物理的インフラを標的にした最初の事例だというのは、あくまで憶測にすぎません」と語る。「いま見つかったからといって、これが初めてだということにはなりません。制御ソフトウェアの脆弱性はあらゆる領域に広がっています」
シュナイダー・エレクトリックの研究者らによれば、攻撃者たちはシュナイダー・エレクトリックの製品と、標的となった産業プラントについてかなり詳しかった。同社のプラットフォームは「PowerPC」プロセッサーで稼働しているが、独自のハードウェアとソフトウェアが採用されている。システムをマッピングして脆弱性を見つけるには、時間と手間をかけてコードを解読する必要があったはずだ。
米国土安全保障省内の産業制御システムサイバー緊急対応チーム(ICS-CERT)の元責任者マーティ・エドワーズは、「このリモートアクセスツールには、かなりの時間と労力が投じられており、攻撃が一夜にして行われたわけでないことは明白です」と語る。エドワーズによると、今回はミスによって攻撃が露見したが、システムを熟知されていたことが問題であることには変わりない。「制御装置に警告が出ないようつくられたコードは、たいしたものです。あそこまでやれたのは、プラットフォームを見事に把握しているということでしょう」
セキュリティ業界全体が協力する必要性
Tritonは、国が関与した高度なハッカーによる仕事である可能性が高いが、具体的にどの国の仕業なのかについて研究者たちは慎重になっている。セキュリティ企業FireEyeと同時にTritonの分析を発表したDragosは12月、攻撃は中東のプラントで起きたと報告したが、シュナイダー・エレクトリックは狙われたプラントや場所については詳細を明かそうとしなかった。
シュナイダー・エレクトリックが顧客向けサイトで説明したところによると、攻撃はTriconexの古いファームウェアであるヴァージョン10.3を悪用したものであり、Tritonによる攻撃を緩和するため「ヴァージョン10」以降すべてに対応した修正プログラムの開発に取り組んでいるという。また2月には、Tritonを検知して駆除するツールを公開する予定だ。さらに修正プログラムが準備できたら、ファームウェアの修正を適切に実施できるよう支援するため、ITサポートの要員をクライアントに派遣するとしている。
アナリストたちは、シュナイダー・エレクトリックの対応と透明性をおおむね支持し、この種の脆弱性への対処にはセキュリティ業界全体が国を超えて広く協力する必要があると強調している。しかし、Tritonの教訓はそれだけではない。あらゆる産業システムと組み込みデヴァイスに、さらにしっかりした機密保持が必要であるということだ。
こうしたプラットフォームを狙うマルウェアはこれまでは稀だったが、次第に増えてきている。重要な社会インフラは、こうした事態に備える必要があるのだ。RELATED
風力発電所のハッキングはあまりに簡単だった──米大学の侵入テストで判明
