新たなマルウェアが産業制御システムを狙う「見えない動機」
産業制御システムを狙う新たなマルウェアが見つかった。石油施設や電力網、工場などで使われるようなシステムを停止させて“身代金”を要求するもので、いわゆるランサムウェアと呼ばれる手法だ。こうした古典的な手法が使われたことから、情報機関などではない普通の犯罪者に産業システムのハッキング技術が浸透している可能性も浮上している。
TEXT BY ANDY GREENBERG
WIRED(US)
![facebook share](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="114" height="37"><rect fill-opacity="0"/></svg>)
BIM/GETTY IMAGES
ハッキングの歴史において、産業制御システムを直接的な標的としたマルウェアが見つかったことは数回しかない。産業制御システムとは、デジタルなシステムと物理的なシステムとの橋渡し役を務めるコンピューターのことを指す。そこを狙うマルウェアはかなり珍しいのだが、過去にイランの核濃縮用遠心分離施設を使用不能にしたり、ウクライナで停電を発生させたりした事例がある。
そうしたなか今回見つかったマルウェアは、産業制御システムを熟知した何者かによるものだ。洗練さには欠けるものの、なじみ深い方法で対象を攻撃する。つまり、標的とするシステムで実行中のソフトウェアプロセスを停止させ、実行に必要なデータを暗号化し、解除のための身代金を求めてくる。いわゆるランサムウェアだ。
石油施設や電力網、工場などを危険に陥れる
Sentinel OneやDragosといったセキュリティ企業の研究者たちは、この1カ月ほど、ある謎めいたプログラムコードに頭を悩ませていた。このコードは「Snake」または「EKANS」と呼ばれている。最終的に研究者らは、産業制御システムを専門に狙うマルウェアであるとの結論に達した。
産業制御システムはソフトウェアとハードウェアで構成され、石油精製施設や電力網、工場などあらゆる場所で使われている。ほかのランサムウェアと同じようにEKANSはデータを暗号化し、解除してほしければ身代金を支払えというメッセージを被害者の画面に表示する。EKANSという名称は、被害者のコンピューターのファイルに埋め込まれた特定の識別子に由来しており、そのファイルがすでに暗号化済みであることを意味する。
EKANSの害は、ファイルの暗号化にとどまらない。実行中のソフトウェアプロセスから64件を選んで停止させるように仕組んであるのだが、なかには産業制御システムに固有のソフトウェアがいくつも含まれている。制御システムの重要なプログラムが停止すれば、そこからアクセスしているデータを暗号化することも可能になる。
産業破壊工作を目的につくられたほかのマルウェアと比べると、荒削りな戦術と言える。だが標的の決め方によっては、石油会社のパイプラインや工場のロボットなど、インフラを監視するソフトウェアを停止させられる。すると、係員による装置の遠隔監視や遠隔操作が不能になるなど、危険な状態に陥る可能性がある。
産業制御システムが狙われる必然
実のところ、EKANSは産業制御システムを標的にしたランサムウェアのなかでは2番目に登場したものだ。Dragosによると、「MegaCortex」と呼ばれるランサムウェアが19年の春に登場しているが、EKANSと同様の産業制御システムのプロセスを停止させる機能をもっていた。
ことによると、MegaCortexはEKANSと同じハッカー集団が開発した先行事例かもしれない。だが、MegaCortexは数百本単位でほかのプロセスも停止させていたので、産業制御システムを標的にしている可能性に気付いた人はほとんどいなかった。
産業制御システムを標的にしたランサムウェアを開発したのが、国家の支援を受けたハッカー集団なのか、いまのところはっきりしたことはわからない。破壊活動が第一目標で、目くらましのためにランサムウェアを装っていることも考えられる。あるいは、犯罪者が本当に金を欲しがっているのかもしれない。
Sentinel Oneの研究員のヴィターリ・クレメズは1月初め、マルウェアハンターチームと呼ばれる研究者集団と共同でEKANSを発見し、その存在を世間に公表した。クレメズによると、ランサムウェアで攻撃する側にしてみれば、産業制御システムを狙うのは当然の帰結なのだという。病院や政府機関と同じように、これらのシステムが稼働する施設が停止するれば桁違いの損害が発生するからだ。
「産業制御システムが動いているマシンは、極めて“おいしい”標的なのです」と、クレメズは指摘する。「データ復帰の緊急性が高く、データを利用できるか否かが業務の根幹にかかわります。そうした意味で、身代金を支払ってしまえという考えに陥りがちなのです」
システムの中枢へと入り込む
製造業はこれまでも、Windowsを標的にしたよくあるタイプのランサムウェアの被害に遭ってきた。例えば19年には、ノルウェーのアルミニウムメーカーであるノルスク・ハイドロが、ランサムウェアのサイバー攻撃を受けて大きな被害を被った。
そこからEKANSやMegaCortexはもう一段階進化しており、産業制御システムの技術的な中枢へと食い込んでいく。数十というプロセスを停止させるのだ。
停止されるプログラムには、ゼネラル・エレクトリック(GE)の産業用プログラム「Proficy」が含まれている。このプログラムは「データ利用履歴の記録係」のようなプログラムで、業務の稼働情報を記録する機能をもつ。また、ファナックのオートメーションソフトウェアの利用ライセンス状況を確認するプログラムや、「ThingWorx」という監視・管理ソフトウェア、さらにはハネウェルの制御インターフェースプログラムも停止される。
「これらのプログラムが使えないからといって、プラント全体がギシギシを音を立てながら停止するわけではありません。しかし、被害を受けた企業が現場の状況を把握しづらくなったり、監視しづらくなったりするのは確かです」と、ジョー・スロウィクは言う。スロウィクは産業制御システムのセキュリティ企業Dragosで、EKANSやMegaCortexの解析を担当した研究員だ。
スロウィクは一方で、別の可能性も指摘する。ライセンスの確認が妨げられた場合、ファナックのソフトウェアがどのような挙動を示すのか予測するのは難しい。ライセンス確認の仕様は業種あるいは顧客によっても変わってくる。
もしファナックのシステムが、ライセンスがないと稼働しないように設定されていたとしたら、より深刻な事態が発生しかねない。「ライセンス認証用サーヴァーが停止することで、オペレーターが特定のマシンを操作できなくなるとしたら、制御不能の状態になって危険な事態が生じる可能性があります」と、スロウィクは言う。
バーレーンの国営石油企業が被害に?
EKANSの被害に遭った企業には、バーレーンの国営石油企業であるバーレーン石油公社(BAPCO)が含まれている可能性が高い。Sentinel Oneのクレメズによると、中東のある顧客から同社にEKANSのサンプルが届いたのだが、その顧客はEKANSに感染したバーレーンの別の組織のネットワークからそれを入手したのだという。
そのEKANSが表示する身代金要求のメッセージには、犯人が指定する連絡先のメールアドレスが含まれている。そのうち少なくともひとつは、「bapcocrypt@ctemplar.com」になっていた(『WIRED』US版はBAPCOにコメントを求めたが、返答は得られていない)。
だが、Dragosのスロウィクによると、EKANSが標的にしているファナックのオートメーションソフトウェアは、主に製造業の設備管理に用いるためのもので、石油会社では使われていないという。「そこから考えると、まだ別に被害者がいるのかもしれません」と、スロウィクは言う。
BAPCOが標的に含まれていた可能性が高いことを根拠のひとつに、イスラエルのセキュリティ企業Otorioは1月末、EKANSはイラン政府の支援を受けたハッカーが開発したという主張を展開した。BAPCOが12月末に「Dustman」と呼ばれるイラン製のワイパー型マルウェアの攻撃を受けたという報道があったのは事実である。米国がイランのカセム・ソレイマニ将軍を暗殺したことで両国間の緊張が極限まで高まったが、マルウェア攻撃はその緊張が頂点に達しつつあるときに起きたとされる。
政治目的ではなく金銭が狙いか
だが、Dragosが2月3日に出した報告書の結論は、Otorioの解析結果とは相容れないものだった。DustmanとEKANSの攻撃を関連づけるいかなる証拠も発見できなかったというのだ。
スロウィクは、EKANSとMegaCortexに共通して現れるある特徴を指摘して、政治目的ではなく、犯罪目的でつくられたとするのが妥当であると主張する。MegaCortexはEKANSと比べてかなり広範囲のマシンに感染したが、一般的に金銭目的のランサムウェアと認識されている。どちらのマルウェアも同じ人物が製作した痕跡がうかがえることから、目的も同じだろうと類推することが可能だ。
EKANSが(イランでもそれ以外でも)国家の支援を受けたハッカーの仕業ではなかった場合、見方によっては、EKANSのマルウェアとしての重要性がさらに高まることになる。MegaCortexと並んでEKANSは、産業制御システムを標的としたマルウェアのなかで、国家の支援を受けたサイバー犯罪者が開発したものではない初の事例となる。
実のところ産業制御システムを狙ったマルウェアは、これまで極めてレヴェルの高い情報機関でしか開発できなかった。例えば、米国家安全保障局(NSA)とイスラエルの諜報機関に所属するハッカーがつくった「Stuxnet」は、イランが2007年から開始した核濃縮計画の破壊工作に使われた。また、ロシアのハッカー集団「Sandworm」は、「Industroyer」や「CrashOverride」といった自動化ツールを使い、16年にキエフ市で停電を引き起こした。
普通の犯罪者に技術が浸透?
EKANSの登場は、情報機関などではない普通の犯罪者に産業システムのハッキング技術が浸透していることを示しているのかもしれない。「国家とは関連のない主体が重要なインフラ施設に損害を与えたり、停止させたりといったことを画策し、またその能力をもっていることを暗示しています」と、スロウィクは言う。
イランのハッカーが周辺諸国のインフラ施設にサイバー攻撃を仕掛けている構図は、確かに不気味なものである。しかし、一般のサイバー犯罪者がそうした重要なシステムに金銭目的で侵入できてしまうとなれば、そちらのほうがもっと落ち着かない気持ちになる。
※『WIRED』によるハッキング関連の記事はこちら。RELATED
SHARE
![これまでにない「新しい材料」を生み出す。なぜなら、それがよりよい社会をつくるから。──小川由希子](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="110" height="110"><rect fill-opacity="0"/></svg>)
