今年11月に起きたアメリカの水道システムに対するサイバー攻撃に関し米連邦捜査局(FBI)とサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)、国家安全保障局(NSA)、環境保護庁(EPA)、イスラエル国家サイバー総局(INCD)は共同でセキュリティ勧告を発出し、アメリカがテロ組織に指定するイランの軍事組織イスラム革命防衛隊(IRGC)が背後にあると名指ししました。サイバー攻撃の歴史にはアメリカ、イスラエルとイランの関係が大きな影を落としています。
狙われたPLC、遠心分離機1000台を撤去?!
ペンシルべニア州アリクイッパ市の水道局が管理する遠隔のブースターステーションがサイバー攻撃を受けたのは2023年11月25日土曜日のことでした。システムの画面に「YOU HAVE BEEN HACKED(ハックされている)」の表示とともに「EVERY EQUIPMENT “MADE IN ISRAEL“ IS CYBERAV3NGERS LEAGAL TARGET(イスラエル製の機器はすべてCyberAv3ngersの標的だ)」と表示されていたということです。CyberAv3ngersはイラン政府系のハクティビストグループのようですが、アメリカやイスラエルはIRGCのサイバー部隊がこのグループを使って仕掛けたとしています。この攻撃ではイスラエル企業製のプログラマブルロジックコントローラー (PLC)が狙われました。PLCは産業用システムにおいて制御を担っている装置です。今回の攻撃がどの程度の規模なのか詳細を把握していませんが、PLCを狙った過去もっとも大掛かりな攻撃として知られるのがサイバー兵器と言われるスタックスネットによる攻撃です。
ISIS(科学国際安全保障研究所)がIAEA(国際原子力機関)のレポートとして明らかにしているところによると、イラン中部の町、ナタンズにある低濃縮ウランを製造する核燃料施設で2009年末から2010年にかけて約1000基の遠心分離機が取り換えられたり、撤去されたということです。2010年9月にはイラン政府幹部が「電子戦が仕掛けられている」と発言したことがイランの新聞に報じられています。同年10月にはイラン情報相が「ウイルスのネットワークを完全に把握している」などとする声明を発表しました。このイランの核燃料施設を攻撃したのがスタックスネットでした。スタックスネットの攻撃によりナタンズの核燃料施設のすべての遠心分離機が一時停止に追い込まれたとみられています。
自己増殖型ワーム、USBを介して拡散か
スタックスネットの存在は、2010年6月、東ヨーロッパのベラルーシに拠点を置くVirusBlokAda社によって明らかにされました。スタックスネットは自己増殖型のワームでUSBを介して拡散されたとみられています。スタックスネットがターゲットとしたのは、ドイツのシーメンス社製のプロセス制御システム。シーメンス社は2010年7月に同社のSCADA(監視制御とデータ収集)管理システムがスタックスネットに脆弱であるとした警告を顧客向けに発しているということです。産業用制御システムは基本的には、インターネットなど外部のネットワークシステムを遮断して構築されています。しかし、スタックスネットはUSBメモリという人為的な方法を利用することによって、標的とする産業用制御システムまで辿りつくよう緻密に計算されたマルウェアだったのです。
スタックスネットの感染は世界中で報告されていますが、特定の環境下でないと機能しない設計になっていることから、多くはスタックスネットに感染しても問題が起きることはありませんでした。しかし、イラン・ナタンズの核燃料施設の環境下においては、PLCに干渉して遠心分離機の周波数変換ドライブを制御し濃縮ウランの製造を攻撃したのです。それまではサイバー戦と言っても情報戦の範囲にとどまっていましたから、サイバー空間における攻撃が現実世界に直接、被害をもたらした初めてケースとなり、スタックスネットは初めてのサイバー兵器と考えられています。
ニューヨークタイムズは2012年6月に「Obama Order Sped Up Wave of Cyberattacks Against Iran」という記事を掲載し、スタックスネットがアメリカとイスラエルによるサイバー攻撃だと報じました。今日、一般的にスタックスネットはアメリカとイスラエルがイランの核開発計画を遅延させることを目的に開発して攻撃したものとみられていますが、アメリカもイスラエルも公式な見解は出していませんので真相は依然として定かでありません。
■出典
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a