米サイバーセキュリティ企業FireEyeが米国時間10月23日に発表したレポートによると、サウジアラビアの石油化学プラントを含む、さまざまな重要インフラストラクチャへのサイバー攻撃にロシアの研究機関が関与しているという。
2017年に実行されたこれらのサイバー攻撃では、Schneider Electricの「Triconex」安全計装システム(SIS)コントローラを不正に操作するように特別に設計された「TRITON」(または「Trisis」)と呼ばれる新種のマルウェアが展開された。
FireEyeやDragos、Symantecの技術レポートによると、TRITONの狙いは、生産プロセスを停止させること、あるいはSISで制御される機械を安全でない状態で作動させることのいずれかだったという。
The New York Timesの報道によると、このマルウェアの背後にいる組織(FireEyeは「TEMP.Veles」というコード名の下で追跡している)は2017年、サウジアラビアのTasneeが所有する石油化学プラントで爆発を引き起こす狙いがあったとみられ、もう少しで成功するところだったという。
このマルウェアの出所は、FireEyeが2017年にTRITONを最初に発見した時点では不明で、The New York Timesが2018年3月に報じた後も不明のままだった。
しかし、FireEyeが23日に発表したレポートで明かしたところによると、TRITONマルウェアが展開されたインシデントをさらに調査した結果、モスクワにあるロシアの国有の科学技術研究機関Central Scientific Research Institute of Chemistry and Mechanics(CNIIHM)がこれらの攻撃に関与していたことを「強く確信」するに至ったという。
FireEyeは、TRITONの展開につながったアクティビティにCNIIHMが関与した可能性を推測するに至った、複数の手がかりについて説明している。
モスクワのCNIIHM
提供:Google Maps
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。