米財務省は米国時間10月23日、産業用機器を攻撃するよう設計されたマルウェアの系統である「TRITON」の開発に関与したとして、ロシアの研究機関に制裁を課すと発表した。
CNIIHM
提供:Google Maps
この日制裁が課されたのは、ロシアの国営研究機関State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics(CNIIHMまたはTsNIIKhMとも呼ばれる)だ。
FireEyeは2018年10月に公開したレポートで、TRITONの開発した可能性がある組織としてCNIIHMを挙げていた。
TRITON(「Trisis」または「HatMan」とも呼ばれる)は、特定の種類の産業用制御システム(ICS)を搭載した機器をターゲットとして設計されたマルウェアだ。具体的には、「Schneider Electric Triconex Safety Instrumented System」(SIS)のコントローラーが標的となっている。
FireEye、Dragos、Symantecのレポートによれば、このマルウェアはフィッシングキャンペーンによって配布された。ワークステーションがTRITONに感染すると、被害組織のネットワーク上に存在するSISのコントローラーを探し、コントローラーの設定を変更しようと試みる。
研究者によれば、TRITONには、生産プロセスを停止させたり、SISによって制御されている機器を安全ではない状態で動作させ、爆発するリスクや人間のオペレーターの命が失われるリスクを発生させたりする可能性がある命令が含まれていたという。
サウジアラビアの石油化学プラントではもう少しで爆発
このマルウェアは、2017年にサウジアラビアの民間企業であるTasneeが所有する、サウジアラビア国内の石油化学プラントへの侵入に使用されたことで発見された。このインシデントでは、もう少しで爆発が起きるところだった。
それ以降、他の企業に対してもこのマルウェアが使用されている。また米財務省は、プレスリリースの中で、TRITONを作成したグループ(TEMP.VelesまたはXenotimeと呼ばれている)は「米国の20の電力会社に対して、脆弱性を発見するためのスキャンやプローブを行っている」と述べている。
今回の制裁は、米国の事業体がCNIIHMと取引を行うことを禁じ、米国内に存在するCNIIHMの資産を差し押さえるというものだ。
ただし、発表後に何人かのセキュリティ研究者がTwitterで指摘しているように、米国は必ずしも道徳的に優れた立場にあるわけではない。産業用システムに対する攻撃の草分けは米国で、「Stuxnet」と名付けられたマルウェアを使って、2010年にイランの核開発プログラムに対して攻撃を仕掛けたことが明らかになっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。