編集部からのお知らせ
新着特集PDF「IOWN構想のNTT」
おすすめ記事まとめ「ランサムウェア」

CISAなど米政府機関、産業制御システム狙うマルウェアについて注意喚起

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2022-04-15 11:14

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)によると、ハッカーらが複数の産業制御システム(ICS/SCADA)機器を乗っ取るカスタムツールを開発している。

 米エネルギー省(DoE)、CISA、米国家安全保障局(NSA)、米連邦捜査局(FBI)が米国時間4月13日、共同サイバーセキュリティアドバイザリーをリリースし、注意を促した。すべての重要インフラ運用者に対し、ICS/SCADAの機器やネットワークのセキュリティを速やかに強化するよう勧告している。

 カスタムツールの標的としてSchneider Electricのプログラマブルロジックコントローラー(PLC)、オムロンの「Sysmac NEX」PLC、Open Platform Communications Unified Architecture(OPC UA)サーバーが挙げられている。

 CISAは、これらのツールによって標的とした機器への「高度に自動化された不正侵入」が可能になるとしている。

 ICSのセキュリティを手がけるDragosは、こうしたツールについて詳細に調査し、ICSを標的とする「Stuxnet」「Havex」「BlackEnergy」「CrashOverride」「Trisis」に続いて知られるマルウェアとして「PIPEDREAM」と命名している。Dragosは、PIPEDREAMが持続的標的型(APT)攻撃のアクターCHERNOVITEの手によるものだとしている。

 Dragosは、「PIPEDREAMはモジュラー型のICS攻撃フレームワークであり、これを利用することで、標的や環境に応じて混乱や性能低下、さらには破壊すら引き起こす可能性がある」と説明している。

 Mandiantはこのマルウェアを「INCONTROLLER」と呼んでいる。同社は2022年の初めにSchneider Electricとともにこのマルウェアを分析している。

 このAPT攻撃を実行するグループは、インターネットから隔離されているべき標的のOTネットワークで足場を確保し、ICS機器を混乱に陥れることができる。また攻撃者は、ASRockのマザーボードドライバーに存在している既知の脆弱性を悪用し、エンジニアが使用している「Windows」ワークステーションに攻撃を仕掛けることもできるとCISAは説明している。

 ASRockに存在するこの脆弱性(CVE-2020-15368)は「AsrDrv103.sys」に影響を及ぼす。これを悪用することで、マルウェア対策テクノロジーの監視が及んでいないWindowsカーネル内で悪意のあるコードを実行できる恐れがある。

 特にエネルギー分野の組織は、このアラートで詳細が説明されている検出策と緩和策を実行する必要があると説明されている。

 またCISAは、「APT攻撃のアクターは、ICS/SCADA機器に対する攻撃を実行し、システムに対する完全なアクセスを維持することで、特権昇格やOT環境内での水平移動が可能になり、重要な機器や機能を混乱に陥れる恐れがある」と指摘している。

 APTグループの標的となっていることが判明したデバイスは以下の通り。

  • Schneider Electric製「Modicon」「Modicon Nano」PLCシリーズの「TM251」「TM241」「M258」「M238」「LMC058」「LMC078」(ただしこれ以外も影響を受ける可能性あり)
  • オムロン「Sysmac」の「NJ」「NX」PLCの「NEX NX1P2」「NX-SL3300」「NX-ECC203」「NJ501-1300」「S8VK」「R88D-1SN10F-ECT」(ただしこれ以外も影響を受ける可能性あり)
  • 「OPC Unified Architecture(OPC UA)」サーバー

 Schneider Electricは、このマルウェアに関するセキュリティ情報ページの中で、このセキュリティ情報が公開された時点で、INCONTROLLERマルウェアが使用されたことは確認されておらず、使用される可能性があるとの認識はないとしているが、「このフレームワークは、混乱や破壊行為、潜在的な物理的破壊につながる能力を備えている」としている。

 DOE、CISA、NSA、FBIはICS/SCADAを持つ組織に対し、「ICS/SCADAのシステムとネットワークを、強力な境界制御機能を用いて企業やインターネットのネットワークから隔離するとともに、ICS/SCADAの境界を出入りする通信を制限する」よう勧告している。また、ICSネットワークとデバイスへのリモートアクセスに多要素認証を利用すること、定期的にICS/SCADAデバイスとシステムのパスワードをすべて変更し、特にデフォルトのパスワードを強力なパスワードに変更することなどを推奨している。

 米政府は、ロシアのウクライナ侵攻による緊張が高まる中、すべての組織に対し、サイバーセキュリティを強化するよう求める複数の警告を出している。衛星通信企業のViasatは最近、ロシアがウクライナへの侵攻を開始した日に、欧州の数千台に及ぶエンドユーザー向けモデムがワイパー型のマルウェアの攻撃を受け、使用不能になったことを明らかにしている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]