アメリカの国土安全保障省は今週、名前が明らかにされていない天然ガスプラントでのランサムウェア感染に最近対応したことを明らかにした。
このサイバー犯罪は、ファイル暗号化型のWindowsランサムウェアの一般的な亜種と説明されており、圧縮施設のガス流量を直接制御するPLC(プログラマブルロジックコントローラ)や機器に物理的な損害を与えなかったと伝えられています。しかし、このマルウェアはオフィスのコンピュータから工場のITネットワークを経由して、工場を監視するPCの運用ネットワークへと拡散し、文書やその他のデータを上書きしていきました。
「サイバー脅威の攻撃者は、スピアフィッシングのリンクを使用して組織の情報技術ネットワークへの最初のアクセスを取得し、その後、運用技術ネットワークに切り替えました」と、国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この騒動について説明する火曜日の速報で述べた。
「その後、脅威の攻撃者は、両方のネットワークに影響を与えるためにデータを暗号化する市販のランサムウェアを展開しました。」
CISAは感染の発生場所や使用されたマルウェアコードについては明らかにしていない。しかし、情報セキュリティ企業Dragosは本日、CISAが言及しているのは、2019年に米国沿岸警備隊に報告された攻撃で使用されたRyukランサムウェアファミリーであると推測した。
ディスクヌーク型マルウェアがサウジアラビアの機器を破壊。イランよ、そのニヤニヤした顔は消しなさい。
続きを読む
CISAによると、感染につながったスピアフィッシングを阻止できなかったことに加え、発電所の運営者はITネットワークと運用システムの分離を怠っていたという。このため、本来は互いに分離されている、あるいは少なくともより厳重に保護されているべき2つのネットワーク間でマルウェアが容易に移動できた。
幸いなことに、この攻撃はWindows専用のランサムウェアだったため、悪意のあるコードはガスプラントの運用を直接制御する制御システムには影響を及ぼしませんでした。スピアフィッシング攻撃者は、プラントのシステムを具体的に混乱させることよりも、ファイルを人質に取ることに関心があったようです。それでも、感染の結果、監視システムのクリーンアップに伴い、プラントは閉鎖せざるを得ませんでした。
CISAは、「被害者の緊急対応計画にはサイバー攻撃が具体的に考慮されていなかったものの、計画的かつ計画的に業務を停止することが決定された」と指摘した。「この停止は約2日間続き、生産性と収益の損失につながったが、その後通常の業務が再開された。」
石油・ガスプラントにおけるマルウェア感染は長らく危険視されてきましたが、こうした事例は主に、インフラを標的として設計された、意図的に作られたマルウェアやスパイウェアによるものでした。今回の攻撃は、国土安全保障省が「コモディティ」ランサムウェア感染と呼ぶものによって引き起こされたもので、どうやらWindows PCをロックさせることだけを狙っていたようです。
国土安全保障省にガスプラントの所在地を尋ねたところ、コメントは拒否されました。米国政府機関が言及しているのは、自国領土内の施設のことだと推測できます。®
