編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

産業システムを狙うマルウェア「TRITON」--ゼロデイ脆弱性を利用

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2018-01-22 14:26

 2017年に中東の中核的な産業制御システムを狙ったトロイの木馬「TRITON」では、「Triconex」安全計装システム(SIS)コントローラのゼロデイ脆弱性を悪用して、攻撃が実行された。

 TRITONが最初に検知されたのは、2017年8月のことだ。12月に中東の産業制御システムを停止させる試みで使用されたことで、同マルウェアは大きな注目を集めた。

 FireEyeの調査部門「Mandiant」の研究者らによると、TRITONは中東の重要なインフラストラクチャを有する組織(名前は明かされていない)の緊急停止システムを不正に操作することに成功したという。

 Symantecによると、TRITONは、産業制御システム(ICS)で使用されるTriconex製安全計装システム(SIS)コントローラを不正に操作するために設計されたという。

 Schneider Electricが先週更新したセキュリティアドバイザリによると、この脆弱性はTriconex製SISコントローラの旧バージョンに存在し、12月の攻撃では、「複雑なマルウェア感染シナリオの一部」を担ったという。

 先述した組織への攻撃で、TRITONは「Tricon」ファームウェアのゼロデイバグを利用して、ICSをスキャンおよびマッピングし、偵察を行った。

 そのセーフティネットワークは、物理アクセスか遠隔操作のいずれかによりアクセス可能だ。Triconキースイッチが「PROGRAM」(プログラム)モードだったため、同マルウェアはペイロードの展開に成功した。

 Schneider Electricの米国製品セキュリティオフィスでグローバルサイバーセキュリティアーキテクトを務めるPaul Forney氏は、Dark Readingに対して、「ひとたびコントローラ内に侵入すると、このマルウェアはファームウェアのゼロデイ脆弱性を悪用して、リモートアクセス型のトロイの木馬(RAT)をメモリに注入し、権限を昇格させる。同マルウェアはマシンの最も高い権限で動作するため、攻撃者はそのRATを通して好き勝手に行動することが可能になる」と述べた。

 その後、RATであるTRITONがシステムを制御し、中核的なサービスと緊急制御装置を破壊することで、制御装置を不正に操作する。これによって、重大な混乱が引き起こされるおそれもある。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]