トレンドマイクロは、暗号化型ランサムウェア「EKANS」が工場などの制御系システムを強制的に終了させることを確認したとして注意を呼び掛けている。
EKANSは2019年12月に出現し、ファイルを不正に暗号化して被害者に金銭を要求する。ファイル暗号化以外にもWindowsのシャドウコピーを不正に削除してデータの復元を妨害したり、特定ドメインの名前解決を試みて攻撃者が事前に設定した特定のIPではない場合に活動を終了したりする特徴が分かっている。
同社は、その中でEKANSがセキュリティ対策やバックアップなどの製品に加え、「GE Proficy HMI/SCADA」「GE iFix」「Honeywell HMI Web」「PTC KEPServerEX」「FLEXNet Licensing Service」の制御系システムに関係するプロセスを停止させることを確認したという。また、Historianサーバーなどで汎用的に利用されるSQL関連のプロセスも対象に含まれることが分かったとしている。
「EKANS」によって強制終了されるプロセスの一例(出典:トレンドマイクロ)
EKANS自体にワームのような拡散機能はなく、これまで被害の状況から攻撃は標的型だという。同社はこれまで9件の感染を検知し、5月には最多の4件に上った。6月には国内製造企業がEKANSの被害に遭い、工場などが停止に追い込まれる状況が報じられている。
トレンドマイクロは、EKANSが制御系システムにとっても実質的にランサムウェアのような被害を与えるものだと指摘し、多層防御で被害を食い止めることが重要だとしている。
