FireEyeのセキュリティ専門家が米国時間6月2日に明かしたところによると、Siemensの制御システムのシミュレート環境内で稼働する産業用制御システム(ICS)を破壊する「IRONGATE」というマルウェアが作られたという。
IRONGATEが発見されたのは、FireEyeのチームが「PyInstaller」でコンパイルされたドロッパーを分析していたときのことだ。2014年、IRONGATEの2つのサンプルがVirusTotalにアップロードされたが、それらは悪質なコードとして検知されなかった。
IRONGATEはいくつかの重要な特徴を備えている。まず、プロセス入出力やオペレーターソフトウェアに対して中間者攻撃を仕掛けることが可能だ。
さらに、悪質なDLLライブラリファイルを利用してトラフィックを記録する。FireEyeのチームによると、それによって、「攻撃者がプロセスオペレーターに気づかれずに制御されたプロセスを変更することが可能になるおそれがある」という。
ただし、この中間者攻撃の裏にあるプロセスは、まだ理解されていない。オペレーターが手動で攻撃を開始する必要があるのではないかとFireEyeは考えている。
さらに、IRONGATEはサンドボックス保護を回避する手法や解析に対抗する仕組みを備えるので、研究者が同マルウェアを詳細に調べるのは困難だ。IRONGATEはVMwareやCuckooのサンドボックス環境を警戒しており、それらが検知されると、同マルウェアのドロッパーは実行されない。
このマルウェアはICSシステムの攻撃手法に関して、Stuxnetを思い起こさせる部分があり、現時点ではシミュレーション環境内でのみそのことを確認できたとFireEyeは述べている。Stuxnetほど複雑でも有害でもないが、類似性があるとしている。
Siemensの「ProductCERT」セキュリティチームによると、IRONGATEはオペレーショナル制御システムに損害を及ぼすことはなく、既知の脆弱性を悪用して産業用プロセスを乗っ取ることもないという。
FireEyeもIRONGATEを具体的な攻撃や脅威実行者と結びつけることができなかった。同社によると、IRONGATEは「ICS攻撃手法に関するテストケースか概念実証、あるいは調査活動」の可能性もあるという。
つまり、IRONGATEは概念実証サンプルであり、本物のマルウェア攻撃に備えて、シミュレート環境の産業用システムに損害を及ぼすさまざまな方法の研究に使用されている可能性もある。私たちは、今後このマルウェアがさらに進化して、人々がますます依存するようになっている産業用システムに放たれることのないように願うしかない。
提供:Symantec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。