セキュリティ企業のDragosによると、産業用システムに対する「最も危険な脅威」と評されるハッキンググループが、米国などの電力網を標的にしようとしているという。
このハッキンググループは、サウジアラビアの石油化学プラントの産業用制御システム(ICS)への攻撃の背後にいたと考えられており、現在は米国の電力網も含め、世界中でより多くの標的となりうるネットワークを探っているようだとDragosは述べた。
このハッキンググループは、過去にある事件に関与したことで知られている。2017年後半、ハッカーがサウジアラビアの石油化学プラントの産業用制御システムをマルウェア(「Triton」または「Trisis」として知られる)に感染させたとみられる。このマルウェアは、安全計装システムを不正に操作するために設計されたものだとされていた。
このマルウェアは緊急シャットダウン機能を制御するシステムを標的にしており、セキュリティ企業各社は、攻撃者が物理的な損害やシャットダウンさせる可能性のある操作を引き起こす機能を開発していると警告した。
2019年4月には、同じマルウェアが別の企業(社名は明かされていない)のシステム上でも発見されたことをFireEyeが明らかにした。現在、このマルウェアの背後にいるグループ(XENOTIMEと呼ばれる)が米国とアジア太平洋地域の電力ネットワークを調査しているとDragosは警告している。XENOTIMEはこれまで石油とガス分野のみを標的としていた。
Dragosによると、このハッキンググループは2017年以降、潜在的な被害者に対する大規模な外部スキャンおよび調査や、主に北米と欧州の企業を対象とする外部アクセスの試みなどの活動に取り組んでいるという。
2019年2月には、米国とアジア太平洋地域の電力会社に関する情報を収集しようする動きを確認したとDragosは述べた。
「こうした振る舞いは、この活動グループが更なるサイバー攻撃を準備していることを示している可能性がある」と同社は説明した。過去に盗まれたユーザー名やパスワードのリストを利用して標的のアカウントに侵入しようとする動きがみられたとDragosは述べた。しかし、電力施設を標的としたイベントは侵入に成功していないという。
このグループが電気事業者を標的にしようとしていることを示す証拠は、「この敵対的な組織がプロセスの安全を危険にさらすのをいとわないことを考えると、深刻に懸念すべき問題だ」とDragosは述べた。
このハッキンググループによる活動の多くは、さらなるICSへの侵入活動や将来の攻撃に必要な最初の情報取集とアクセス操作にフォーカスしたものだとDragosは述べている。また、このグループが実際に電力施設の運用を破壊させるような攻撃を実行できることを示す証拠はないという。
ICSを稼働している組織は、被害に遭う可能性や壊滅的な事態が起こる場合に備えておくべきだとDragosは述べた。
セキュリティ専門家によると、送電網や工場、鉄道網まであらゆるものを動かすインフラであるICSに対する脅威は高まっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
