マルウェア「Triton」で工場制御システムが乗っ取られる事例が発生。安全装置作動し操業が一時停止

国家絡みの可能性

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2017年12月18日, 午後 12:20 in Security
0シェア
FacebookTwitter
Sunrise over BNFL's nuclear reprocessing plant at Sellafield, Cumbria : More than a million postcards were being delivered to Prime Minister Tony Blair and the Prince of Wales, as part of an Irish bid to have the Sellafield nuclear installation closed down.   *  People throughout the Republic posted the cards after weeks of campaigning backed by celebrities such as soccer international Roy Keane and pop stars Ronan Keating and Samantha Mumba. The 1.3 million postcards were set to reach their final destinations in London today on the 16th anniversary of the Chernobyl disaster.   *20/06/02 Sunrise over BNFL's nuclear reprocessing plant at Sellafield, Cumbria : Children of men exposed to radiation while working at the Sellafield nuclear plant in Cumbria have twice the normal risk of blood and lymph cancers, it was reported today, Thursday 20th June 2002. The findings, from a major study supported by the nuclear industry, appear to back controversial claims made about such a link 12 years ago. In 1990 the late Martin Gardner, an epidemiologist from the University of Southampton, produced evidence of an association between doses of radiation received by fathers employed at Sellafield and the incidence of leukaemia among their children. 22/01/03 : Politicians from Northern Ireland were visiting Sellafield  as part of the campaign to have the nuclear processing plant closed down. A cross-party delegation of councillors from across the province was being given an extensive tour of the Cumbrian plant by British Nuclear Fuels. The Irish government and politicians in Northern Ireland have been pressing for Sellafield to be closed on environmental and health grounds.
情報セキュリティ製品を取り扱うFireEyeが、自社のセキュリティサービスを提供している中東の企業に対して外部からのハッキングがあり、コンピューター制御の工場操業システムが停止させられたと報告しました。

ハッキングに使用されたのはTritonと呼ばれるマルウェアで、一般に発電所や自家発設備で使用されるSchneider ElectricのTriconexセーフティテクノロジーが稼働するワークステーションを遠隔操作可能状態に陥れました。
ハッカーグループはこの操業システムに安全上の問題を引き起こそうと操作を加えましたが、システムのインターロックが機能したためフェイルセーフモードとなり、結果として工場全体を一時停止。この間にオペレーターは速やかにマルウェアの侵入を特定しました。

Tritonはかなり洗練されたマルウェアで、この操業システムの非公開プロトコルを使用してシステムを操作、アラートの発報を避けるため障害を発生させたコントローラを正常に見せかけたり、痕跡を隠すためにジャンクデータを書き込んだりしていたとのこと。FireEyeは、正確な攻撃元は把握できないものの、国家がらみの可能性を示唆しています。

ハッカーは、今後は発電所などのインフラを担うプラントを攻撃するだけでなく、プラント設備に物理的損害を発生させるような操業上の操作、インターロックの解除など致命的な変更を加えてくる可能性が考えられます。もし、長期間の機能停止や環境災害につながる事態に追い込まれたならば、それはその地域の生活や経済に大きな打撃を与えるかもしれません。

日本では今年、ランサムウェアの侵入によって工場が停止した事例がありました。しかし金銭目的以外の悪意あるハッカーグループに狙われる可能性もあるならば、もはや企業や政府は事務用コンピューターだけでなく原子力発電所など重要施設のセキュリティ対策も優先的に実施しなければならないのかもしれません。なお外国ではTriton以外にも、これまでにプラント制御システムを狙ったマルウェアの侵入事例が複数発生しています。

 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: criticalinfrastructure, cyberwarfare, energy, fireeye, gear, hack, infrastructure, internet, safety, Security, triton
0シェア
FacebookTwitter