旧ソ連圏の国家だったウクライナは、EU加盟を望む市民による抗議活動「ユーロマイダン」、ロシアによるクリミア併合、親ロシア派による反政府活動など、2014年初頭から国際問題の震源地となってきた。
そうした中、苦しみにあえぐウクライナ市民に追い打ちを掛けるような事態が発生した。国内の電力会社3社がサイバー攻撃を受けた結果、2015年のクリスマス期間中に大規模な停電が発生したのだ。サイバー攻撃にはロシア政府の関与が強く疑われているが、この種の攻撃は複雑な経路を辿るため、攻撃者の正体は未だ特定されていない。しかし、攻撃で主要な役割を果たしたマルウェアは完全に特定された。「BlackEnergy」と呼ばれる有名なトロイの木馬である。
ウクライナのBurshtyn TES発電所今日におけるサイバー攻撃の多面的な性質と、産業界で導入が進むインダストリアルIoTの脆弱性を解明するうえで、ウクライナの電力網を操業不能に陥れた攻撃は、貴重な参考事例となる。
ウクライナの電力網に対するサイバー攻撃の機序
ウクライナの電力網に侵入する入り口を攻撃者に与えたのは、サイバー攻撃の事例ではお馴染みの、人間という脆弱性だった。攻撃者はスピアフィッシングとソーシャルエンジニアリングを併用し、ネットワークへの侵入経路を確保した。侵入を果たした攻撃者は、電力網の制御システムが通常のITシステムに直結されている点を悪用した。
BlackEnergy 3を解析したセキュリティ企業、SentinelOneの最高情報セキュリティ責任者であるEhud Shamir氏は次のように述べている。
「インダストリアルIoT、SCADA(Supervisory Control And Data Acquisition)、ICS(Industrial Control Systems)を始めとする産業用の制御システムは、実は通常のWindows PCで制御されている点を忘れてはならない」。産業用の制御システムがBlackEnergyなどのマルウェアに対して脆弱なのは、これが理由である。
「BlackEnergyは高度にモジュール化されているのが特徴だ。そのため、攻撃者はマルウェアの挙動を簡単に変更できる。ウクライナの電力網に対する攻撃では、BlackEnergyに感染させたExcelファイルをメールに添付して送付する手法が採られたものと思われる」(Shamir氏)
そして、ICSは通常の情報システムに接続されているケースが多い。
同氏はこう説明する。「そうしてネットワークに侵入した攻撃者は、電力網ICSのインターフェースの一部が、不注意な作業員によって情報システムのLANに接続されていることを発見したのだろう。BlackEnergyにはスニッファとして機能するモジュールも搭載されている。これがネットワーク上からユーザーの認証情報などを探り当てる。攻撃者はこの情報を利用してICSにアクセスし、最終的には電力網に対する妨害活動を実行に移した」
