セキュリティ研究者は、産業用制御プロセスを妨害する可能性のあるマルウェアを発見しました。
Industroyerは、2015年12月にウクライナで停電を引き起こしたエネルギー企業への攻撃に関与したとされるマルウェア「BlackEnergy」と同様の被害を引き起こす可能性があります。このマルウェアは昨年12月の追加攻撃にも利用された可能性があり、電力システムに深刻な被害を与える可能性があります。セキュリティ企業ESETによると、Industroyerは他の種類の重要インフラを標的とするように改良される可能性があります。
Industroyerは、変電所のスイッチや遮断器を直接制御できるため、特に危険な脅威です。そのために、Industroyerは、電力供給インフラ、交通制御システム、その他の重要インフラシステム(水道、ガス)で世界中で使用されている産業用通信プロトコルを使用します。これらのスイッチと遮断器は、アナログスイッチのデジタル版であり、技術的には様々な機能を実行するように設計できます。したがって、潜在的な影響は、単に配電を停止することから、連鎖的な障害、さらには機器へのより深刻な損傷まで多岐にわたり、変電所ごとに異なる場合があります。
Industroyerはモジュール型です。その中核コンポーネントは、攻撃を管理するためのバックドアです。他のコンポーネントをインストールして制御し、リモートサーバーに接続してコマンドを受信し、攻撃者に報告します。
インダストロイヤー産業制御マルウェア
このマルウェアの正体不明の作者は、産業用制御システムに精通しています。Industroyerは、脆弱性そのものではなく、セキュリティ上の固有の弱点を利用して拡散します。
このマルウェアは、レーダーを潜伏させ、永続性を確保し、任務完了後に自身の痕跡を消去する機能を備えています。また、シーメンスSIPROTECTデバイスのCVE-2015-5374脆弱性を悪用し、標的のデバイスを応答不能にするサービス拒否ツールもモジュール化されています。ワイパーコンポーネントも含まれています。ESETの研究者は、このマルウェアを、イランの核遠心分離機を破壊したサイバー兵器「Stuxnet」以来、産業用制御システムを攻撃した最も高度なマルウェアと評しています。
Industroyerは高度にカスタマイズ可能なマルウェアです。標的の通信プロトコルの一部を用いてあらゆる産業用制御システムを攻撃できるという汎用性を持つ一方で、分析されたサンプルの一部のコンポーネントは特定のハードウェアを標的とするように設計されていました。例えば、ワイパーコンポーネントとペイロードコンポーネントの1つは、ABBの特定の産業用電力制御製品を組み込んだシステム向けにカスタマイズされており、DoSコンポーネントは、変電所やその他の関連分野で使用されているSiemens SIPROTECTデバイスに特化して機能します。原則として、現場でのインシデント対応を行わない限り、攻撃をマルウェアに帰属させることは困難ですが、2016年12月にウクライナの電力網を攻撃した際にIndustroyerが使用された可能性は非常に高いと考えられます。このマルウェアは攻撃を実行するための独自の機能を備えていることが明らかであるだけでなく、停電が発生した2016年12月17日の起動タイムスタンプも含まれています。
2016年にウクライナの電力網が攻撃され、首都キエフの一部の地域で電力が1時間にわたって供給停止となった。®
