編集部からのお知らせ
特集まとめ:高まるCISOの重要性

産業用システムを標的とするマルウェア「IRONGATE」--FireEye報告

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-06-06 11:24

 FireEyeのセキュリティ専門家が米国時間6月2日に明かしたところによると、Siemensの制御システムのシミュレート環境内で稼働する産業用制御システム(ICS)を破壊する「IRONGATE」というマルウェアが作られたという。

 IRONGATEが発見されたのは、FireEyeのチームが「PyInstaller」でコンパイルされたドロッパーを分析していたときのことだ。2014年、IRONGATEの2つのサンプルがVirusTotalにアップロードされたが、それらは悪質なコードとして検知されなかった。

 IRONGATEはいくつかの重要な特徴を備えている。まず、プロセス入出力やオペレーターソフトウェアに対して中間者攻撃を仕掛けることが可能だ。

 さらに、悪質なDLLライブラリファイルを利用してトラフィックを記録する。FireEyeのチームによると、それによって、「攻撃者がプロセスオペレーターに気づかれずに制御されたプロセスを変更することが可能になるおそれがある」という。

 ただし、この中間者攻撃の裏にあるプロセスは、まだ理解されていない。オペレーターが手動で攻撃を開始する必要があるのではないかとFireEyeは考えている。

 さらに、IRONGATEはサンドボックス保護を回避する手法や解析に対抗する仕組みを備えるので、研究者が同マルウェアを詳細に調べるのは困難だ。IRONGATEはVMwareやCuckooのサンドボックス環境を警戒しており、それらが検知されると、同マルウェアのドロッパーは実行されない。

 このマルウェアはICSシステムの攻撃手法に関して、Stuxnetを思い起こさせる部分があり、現時点ではシミュレーション環境内でのみそのことを確認できたとFireEyeは述べている。Stuxnetほど複雑でも有害でもないが、類似性があるとしている。

 Siemensの「ProductCERT」セキュリティチームによると、IRONGATEはオペレーショナル制御システムに損害を及ぼすことはなく、既知の脆弱性を悪用して産業用プロセスを乗っ取ることもないという。

 FireEyeもIRONGATEを具体的な攻撃や脅威実行者と結びつけることができなかった。同社によると、IRONGATEは「ICS攻撃手法に関するテストケースか概念実証、あるいは調査活動」の可能性もあるという。

  つまり、IRONGATEは概念実証サンプルであり、本物のマルウェア攻撃に備えて、シミュレート環境の産業用システムに損害を及ぼすさまざまな方法の研究に使用されている可能性もある。私たちは、今後このマルウェアがさらに進化して、人々がますます依存するようになっている産業用システムに放たれることのないように願うしかない。

産業用システムを標的とするマルウェア「IRONGATE」
提供:Symantec

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]