米エネルギー省(DOE)と米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米国家安全保障局(NSA)、米連邦捜査局(FBI)は合同でアラートを発出、産業用制御システム(ICS)や監視制御システム(SCADA)を狙った、持続的標的型攻撃(APT)の攻撃者が開発したカスタムメイドのマルウェアへの警戒を呼びかけています。特にエネルギーなど重要インフラを担っている組織に対しICS/SCADAデバイスのセキュリティを強化するように求めています。
ICS/SCADAデバイスをスキャン、侵害、制御
アラートによると、このマルウェアは工場などのOT(Operational Technology)ネットワークの初期アクセスを確立すると、ICS/SCADAデバイスをスキャン、侵害、制御することが可能で、モジュラーアーキテクチャを備えていることから高度に自動化されたエクスプロイトの実行が可能になるということです。そのためスキルの低い攻撃者でも攻撃が可能なようです。攻撃者はモジュールを活用して標的としたデバイスをスキャン、偵察、悪意のあるコードのアップロード、デバイスコンテンツのバックアップや復元、デバイスパラメーターの変更を行うことができます。
サイバーセキュリティのマンディアントはこのマルウェアをINCONTROLLERと呼んでいて、同社の解析によるとINCONTROLLERには攻撃者がICSデバイスに命令を送信できるようにする3つのツールが含まれているということです。このツールの機能によって、攻撃者はさまざまなメーカーの製品と通信が可能なのだといいます。しかし、一方でシュナイダーエレクトリックとオムロンのコントローラー用のモジュールも開発されて実装されていることから、マンディアントは「特定のターゲット環境を偵察するために、これらの機器が選ばれた可能性が高い」と指摘しています。
STUXNET、INDUSTROYER、TRITONに匹敵
2010年頃にイランの核燃料施設を攻撃したSTUXNETは、世界中で感染が確認されましたが、シーメンスのSCADAと特定の周波数変換ドライブを組み合わせたシステムのみを攻撃対象に設計されていました。そして、そのようなシステムが導入されている産業施設はイランの核燃料施設でした。同じようにINCONTROLLERはシュナイダーエレクトリックやオムロンの産業用制御システムをターゲットにしたモジュールを開発し実装していることから、標的としている産業施設がこれらのシステムを使用している特定の施設である可能性もあるようです。
マンディアントはINCONTROLLERについて、STUXNETや2016年にウクライナで停電を引き起こしたINDUSTROYER、2017年に産業安全システムを無力化しようとしたTRITONに匹敵する脅威だとしています。また、その複雑な構造や、開発に専門知識やリソースが必要なこと、さらに金銭的な動機とみられる活動が限定的であることから国家が支援するグループによる攻撃である可能性が高いとしています。
ターゲットはウクライナ侵攻に反対している国々?
その上で、状況証拠からの推定ではあるものの、①少なくとも2014年以降、ロシア系の攻撃者がICSに特化した複数のマルウェアファミリーでICSアセットとデータを標的としてきた②INCONTROLLERの機能はロシアが過去に使用したマルウェアの機能と同一性がある―ことを指摘、INCONTROLLERはウクライナ、NATO加盟国、さらにウクライナ侵攻に反対している国々にとって脅威となる可能性を示唆していますので、アメリカ当局によるアラートではありますが、日本にとっても看過できない内容です。
アラートでは、ICS/SCADA システムおよびネットワークを企業およびインターネットのネットワークから分離し、ICS/SCADA 境界に出入りする通信を制限する、ICS/SCADA システムのネットワーク接続を特別に許可された管理ワークステーションとエンジニアリングワークステーションのみに制限する、ICS/SCADAデバイスおよびシステムのすべてのパスワード、特にすべてのデフォルトパスワードを一貫したスケジュールで変更する、など対応策も提示しています。
■出典
https://www.cisa.gov/uscert/ncas/alerts/aa22-103a
https://www.mandiant.jp/resources/incontroller-state-sponsored-ics-tool