狙われる社会インフラ、マルウェア被害で中東プラントが操業停止
新たに発見された「トリトン(Triton)」と呼ばれるマルウェアは、多くの工業プロセスを制御する安全システムを破壊する可能性がある。
何年も前から、セキュリティ専門家は、ダムや発電所などの重要社会インフラを制御するシステムがハッカーに乗っ取られる可能性を警告してきた。セキュリティ企業ファイヤーアイ(FireEye)の一部門であるマンディアント(Mandiant)の研究者らは、トリトンと命名された新しい形のマルウェアによって、フランス企業シュナイダー・エレクトリック(Schneider Electric)のシステムを使用している中東のある事業所が操業停止に追い込まれたことを明らかにした。マンディアントの研究者らは、ハッキングの原因となった攻撃者については特定していないものの、国家が関与した可能性を指摘している。
トリトンは、センサーなどを使って物理的なプロセスの動作を監視する、いわゆる安全計装システム(SIS:Safety Instrument System)を狙ったようだ。SISを乗っ取り、実際にはプロセスが危険な状態でも順調だと騙すことで、ハッカーはSISが監視しているプロセスを破壊したり、損害を与えたりできる。
シュナイダー・エレクトリックのケースでは、ハッカーはSISワークステーションのセキュリティを破ることに成功した。マンディアントの研究者によると、ハッカーはこの侵入口を使って、設備にダメージを与えようと意図していたようだ。だが、ハッカーはうっかり工業プロセスを停止させてしまったため、施設の管理者らが調査を開始し、侵入口が見つかったのだ。
以前にも、工場や重要社会インフラを狙ったサイバー攻撃に対する脆弱性をはっきりと示す出来事は起きている。2010年には、イランの複数の事業所がスタックスネット(Stuxnet)として知られるマルウェアに感染し、ウラン濃縮施設の遠心分離機が破壊された。2016年には、インダストロイヤー(Industroyer)と呼ばれるマルウェアを使った送電網への攻撃によって、ウクライナの首都キエフの多くの地区が暗闇へと突き落とされた(「ウクライナ大規模停電は序章、サイバー攻撃が狙う次の標的は?」参照)。
ますます広がるこうした攻撃の脅威に対して、米国国土安全保障省と米国連邦捜査局(FBI)によって運営されている「米国コンピューター緊急事態対策チーム(US-CERT)」も動いている。US-CERTは2017年10月、原子力発電から水や航空にいたるまで、さまざまなセクターに対するリスクについて強く警告した。トリトンは2017年9月から活動していたと話す研究者もおり、トリトンの出現がUS-CERTの警告のきっかけとなった可能性もある。
今年発表されたマサチューセッツ工科大学(MIT)国際研究センターの研究は、多くの発電所やその他の施設で、古い設備とインターネット接続型の次世代ハードウェアとを両立させるというプレッシャーが事態を悪化させたと指摘している。レガシーシステムを慌ててWebにつなぐことで、攻撃に対して脆弱な状態にしてしまう場合がある(「進化する送電網で増すサイバー攻撃のリスク」参照)。
巨額の訴訟に発展する可能性もある。「トリトンは、工場や電力会社が(中略)システムに対する統制やサイバー防衛戦略を考え直す必要性を強調するものです」と、国際法律事務所ドーシー&ホイットニーのクレイトン・マジッド弁護士はEメールでコメントした。「対策が遅れれば、大きな財務的リスクに直面することになるでしょう」。
- 参照元: FireEye