コンテンツにスキップ

スティーブ・マクラッケンによるイラスト

カジノサイト サイバーが問題を解決する

ミーガン・ゲイツ著
2016 年 5 月 1 日

印刷問題:2016 年 5 月

2015 年のクリスマスの 2 日前、ハッカーがウクライナの電力制御システムを制御し、遠隔から送電網の一部を停止させました。サイバー攻撃により電力システムがダウンする可能性があるというかつて理論上の脅威が厳しく、そして骨も凍るような現実になったため、イバノ・フランキウスク地域の約 25 万人が数時間停電したまま放置されました。

送電網の運営者は送電網を稼働させることができましたが、その 4 日後にハッカーが再び襲撃し、破壊的なマルウェアを使用してウクライナの少なくとも 3 つの地域の電力インフラを感染させ、再び停電を引き起こしました。

当初、攻撃の詳細は不明瞭でしたが、1 つだけ明らかでした。攻撃では、マルウェアを使用してバックドアが作成され、対象のコンピュータに KillDisk コンポーネントが埋め込まれ、コンピュータが起動できなくなり、ファイルが破壊されました。

まだ誰も攻撃の責任を取っていません。しかし多くの人は、この事件が世界中のセキュリティ専門家や重要インフラ運用者への警鐘となることを期待しています。

「これは、もはや理論的な演習でも、産業用制御システムを破壊する方法を見つけようとしてホワイトボードの周りに座っている大勢の人でもありません」と、日立グループ会社であるアバブ セキュリティのアドバイザリー サービス ディレクターである CPP のティム マククレイト氏は言います。 「私たちはそれが起こり得ることを知っています。」 

研究者らは、ウクライナの電力システムに対する最初の攻撃のタイムラインをまだ確信していませんが、マルウェアのサンプルを分析し、ウクライナの電力網のネットワークを調べることで、マルウェアがネットワーク内をどのように移動したかを特定することができました。

この攻撃はウクライナの電気部門を狙っており、攻撃者はBlackEnergyマルウェアが埋め込まれたExcelスプレッドシートを使用したフィッシングメールを従業員に送信することで実行した。警告にもかかわらず、従業員はだまされて添付ファイルを開かせられ、電気部門のネットワークに Secure Socket Shell バックドアがインストールされました。 

この事件に関するネットワーク セキュリティ会社 NSFOCUS の報告書によると、「このようにして、攻撃者はターゲットに産業用制御コマンドを送信し、KillDisk を実行してシステムを侵害し、システムの回復時間を延長する可能性があります。」  

「私たちの分析はサンプルのみに基づいているため、[各部門が]ウイルス対策を実行していたかどうか、あるいはトロイの木馬がうまく回避したかどうかはわかりません」と NSFOCUS の NSRI チームの研究マネージャー、Li Donghong 氏は述べています。このフィッシングは、リスク警告を無視して添付ファイルをクリックさせることを目的としているため、添付ファイルが開かれた後にパッチを適用しても攻撃の発生を防ぐことはできません。

しかし、この攻撃を本当に可能にしたのは、ウクライナの電力施設の多くがインターネットに接続されていたからです。 

「インターネット接続により、攻撃者はシステムにハッキングし、従業員をだまして特別に細工した電子メールを開かせることで攻撃を仕掛けることができる」と報告書は説明している。 「BlackEnergy がこの方法でビジネス システムやデバイスに感染すると、攻撃者が KillDisk などのインプラントを使用してホストを侵害し、産業用制御システムに対して攻撃を開始する可能性が十分にあります。産業用制御システムが再起動中に構成の読み取りに失敗すると、システム全体が故障します。」

平たく言えば、攻撃により送電網の一部が遮断され、再稼働が困難になります。

ウクライナでブラックエナジーがサイバー攻撃に使用されたのはこれが初めてではなく、電力網への攻撃においてブラックエナジーがどのような役割を果たしたのかは依然として不明である。以前は、2014 年にウクライナの政府関連標的に対する一連のサイバースパイ攻撃で使用され、2015 年 11 月にはウクライナの地方選挙中に報道各社を攻撃してビデオ資料や文書を破壊しました。

このような歴史のため、多くの人はロシア、またはロシアが支援するグループが攻撃の背後にいるとすぐに主張した。しかし、特に 1 月にウクライナの複数の配電会社に対して別の形式のマルウェアを使用した別のサイバー攻撃のニュースが報道された後は、懐疑的な人もいます。

「1 月の攻撃では、まったく専門的ではないタイプのマルウェアが使用されました」と、インターネット セキュリティ会社 ESET の上級マルウェア研究員であるロバート リポフスキー氏は述べています。 「これは、無料で利用できるオープンソースのバックドアをベースにしており、それを改変したものでした。これは、インターネット上で見つけて、ソース コードを取得し、少し変更してから使用できるものです。これは、資金が豊富で、国の支援を受けたプロのマルウェア オペレーターから期待できるものではありません。」

1 月の攻撃は、12 月の攻撃と同様の手法、つまり悪意のある Excel 添付ファイルを含むフィッシングメールを使用して実行されました。リポフスキー氏の調査によると、電子メール内にはリモート サーバー上の画像ファイル (.PNG) へのリンクが含まれていたため、攻撃者は電子メールが意図した受信者によって配信され、開封されたという通知を受け取る可能性がありました。

電子メールが開かれると、受信者はシェル コマンドを実行できるマルウェアと、攻撃者がネットワークにアクセスできるバックドアをダウンロードするように誘導されました。 

この種の攻撃では、明確な動機がないようなので、リポフスキー氏は攻撃の背後に誰がいるのか疑問に思っています。

BlackEnergy を使用するこれまでの動機は、「主にサイバースパイ活動だったので、個人データを手に入れようとしていた」と彼は説明します。 「今回、彼らは単なるスパイ活動に加えて破壊活動も行おうとしていましたが、誰がこの背後にいるのかを示唆する明確な指針や手がかりはありません。」

研究者や調査員が責任者の特定を続けている一方で、次の攻撃の発生を防ぐために何ができるかに焦点を当てている人もいます。リポフスキー氏は、重要インフラ事業者は、システムにパッチを適用し、ソーシャル エンジニアリング攻撃について従業員を教育し、セキュリティ ソフトウェアとマルウェア対策ソリューションを使用するという、一般的なサイバーセキュリティに関するアドバイスに従うべきだと述べています。

しかし、電気部門が講じることのできる最も重要な措置の 1 つは、重要なシステムにエアギャップを設けることです。 「言い換えれば、産業システムを制御したりプログラムしたりするコンピュータを、インターネットに接続されているのと同じネットワークに接続してはなりません。それは非常に大きな脆弱性、つまり攻撃者が侵入する潜在的なベクトルを生み出すことになるからです。」とリポフスキー氏は言います。

North American Electric Reliability Corporation (NERC) は、カナダ、米国、メキシコで産業用制御システムを企業ネットワークから分離することを要求する基準をすでに制定しています。 

これにより、米国の電力システムへの攻撃の可能性は遠ざかると、CPP、PCI、PSP、トライステート発電・送電担当CSOのアラン・ウィック氏は述べています。さらに、産業用電気制御システムはファイアウォール、侵入検知システム、ポート ブロッキング システムによって保護されるのが一般的である、と彼は付け加えました。

たとえば、ウィック氏は、トライステートには複数の段階の監視制御とデータ収集ネットワークの孤立化があると述べています。これは、同社の SCADA システムが仮想プライベート ネットワーク (VPN)、企業ネットワーク、地域電力事業体の運用ネットワーク、およびバックアップ コントロール センターから物理的に切断されていることを意味します。 

システムはこのように構築されており、「電力源と目的地の間での会話以外のことから完全に切り離すことができるようになっています」と彼は説明します。 

そして、米国土安全保障省情報分析局の調査は、ウィックの主張を裏付けています。ウクライナでの攻撃を受けて、同局は「米国のエネルギー部門に対する損害や破壊的なサイバー攻撃の脅威は低い」との情報評価を発表した。

この評価は、2011 年から 2016 年にかけて米国コンピュータ緊急事態対応チーム (ICS-CERT) と情報コミュニティによってまとめられたものです。この評価では、高度持続的脅威 (APT) 国家サイバー攻撃者が主にサイバー スパイ活動を行うために米国のエネルギー部門の企業ネットワークを標的にしていると説明されています。 

「セクターの産業制御システム ネットワークに対する APT 活動は、おそらくマルウェアの導入を促進するための永続的アクセスの取得と維持に焦点を当てており、米国との敵対行為が発生した場合に損害を与えるまたは破壊的な攻撃を行うためにのみ実施される国家緊急時対応計画の一部である可能性が高い。」と評価書は述べている。

北米は送電網に対するサイバー攻撃から身を守るのに有利な立場にあるかもしれないが、地球の他の地域では同じことが言えない。ウィック氏も、カジノサイト 国際情報技術セキュリティ評議会の議長であるマクレイト氏も、産業用制御システムを企業の IT ネットワークから分離することを要求する他の地域標準については知りませんでした。 

そしてウィック氏は、水道システムなどの北米の他の重要なインフラ部門は、エネルギー部門と同じ基準を持っていないため、ウクライナを襲う種類の攻撃に対して脆弱になる可能性があると述べています。

「ほとんどの水道システムはローカルなものであり、大規模な送電網のような大規模な統合システムではありません」とウィック氏は説明し、この分野での基準の欠如は電力システムと比較して「文化、大規模な事故の欠如、および配電の小規模さ」が原因である可能性があると付け加えた。

ただし、標準でそれが要求されていないからといって、企業や重要インフラがより安全なサイバーセキュリティ体制に移行すべきではないという意味ではありません。ウクライナ、そしてそれ以前の Stuxnet は、重要なインフラストラクチャを破壊するこの種の攻撃が可能であることを証明しました。

企業や重要インフラ事業者は、自社のシステムが侵害されることを想定し、攻撃を迅速に検出、軽減、回復できるように措置を講じる必要があるとマクレイト氏は言います。 

「私たちはハッキングされるでしょう。どこかで侵害されるでしょう」と彼は付け加えた。 「そして、どれだけ早くそれを見つけられるか、どれだけ早くそこから回復できるかが違いを生むのです。」  

arrow_upward