2011年10月18日火曜日

大手セキュリティ会社が、発電所や石油精製所などの重要インフラネットワークを妨害する新しいトロイの木馬を検出

2011年10月19日

大手セキュリティ会社が、発電所や石油精製所などの重要インフラネットワークを妨害する新しいトロイの木馬を検出

https://web.archive.org/web/20130221103736/http://www.shtfplan.com/headline-news/major-security-firms-detect-new-trojan-capable-of-disrupting-power-plants-oil-refineries-and-other-critical-infrastructure-networks_10192011?replytocom=206875



2011年10月7日の報告書「侵入があった」では、国土安全保障省の次官補グレッグ・シェイファー氏が、ハッカーや外国政府が、インフラのグリッド制御システムから金融ネットワークまで、あらゆるものをつなぐネットワークシステムの「バックドア」を「たたいている」と警告したことを指摘しました。


大手サイバーセキュリティ企業のシマンテックとマカフィーが検出した新しいスタックスネット型のトロイの木馬が証拠となり、私たちの相互接続されたスマートグリッドが現在、積極的に攻撃を受けているようです。その前身と同様に、「Duqu」と呼ばれるこのトロイの木馬は、発電施設から石油精製所まで、あらゆるものを制御するネットワークに侵入するように設計されています。このトロイの木馬がどのように動作するのか、その目的は何なのか、誰が設計したのかは、まだ明らかになっていません(ただし、DuquとStuxnetのコードは、米国の情報機関が発信源である可能性が高いと考えられています)。シマンテックとマカフィーの両社は、この脅威の調査を続けています。

セキュリティ研究者らは、悪名高いスタックスネットワームと恐ろしいほど類似した新しいトロイの木馬を検出しました。このトロイの木馬は、発電所、石油精製所、その他の重要なインフラネットワークを制御するコンピュータを妨害する可能性があります。

セキュリティ企業シマンテックが「Duqu」と名付けたこのトロイの木馬は、そのコードから判断すると、昨年7月にイランの核燃料処理施設を機能不全に陥れるのに使用されたスタックスネットワームと同じ作者によって書かれたものとみられます。

...

「Duquはスタックスネットと多くのコードを共有していますが、ペイロードは全く異なります」と、セキュリティ企業シマンテックの研究者らは同社のセキュリティレスポンスブログに書いています。

Duquは、SCADAシステムを直接ターゲットにするのではなく、「産業用制御システムメーカーなどの企業から情報データや資産を収集し、将来、別の第三者に対してより容易に攻撃を行えるようにします。攻撃者は、将来の産業制御施設への攻撃に役立つ設計文書などの情報を求めているのです。」

研究者らは、「Duquは、本質的に、将来のスタックスネットのような攻撃の前兆となるものです」と付け加えています。



スタックスネットは非常に高度なもので、イランの核施設でウランを濃縮するために使用される物理的な遠心分離機をクラッシュさせたことを覚えているかもしれません。スタックスネットは、ソフトウェアとハードウェアの脆弱性を悪用し、ソフトウェアインターフェースを制御することで、イランの研究施設のエンジニアに対して、すべてが適切に機能していると報告していましたが、バックグラウンドでは、ハードウェアが故障するまで制御不能な状態で遠心分離機を回転させていたのです。

Duquは、明らかにスタックスネットと同様の高度なコードで、少し異なる手口を持っているようですが、まだ完全には解明されていません。しかし、イランのスタックスネットのように、現在、重要なインフラシステムの内部で情報を収集しながら活発に機能しています。その目的は何でしょうか?手遅れになるまで、その質問の答えは得られないかもしれません。

関連性のないニュースとして報じられていますが、国土安全保障省は、非機密の国家サイバーセキュリティ通信統合センター通報(pdf)において、ハッキンググループの_Anonymous_について、高度な産業用制御システム(ICS)を標的にする能力が高まっている可能性があるとの警告を発しています。


(U//FOUO)Anonymousに関する情報によると、現在のところ、ICSを標的とした攻撃を行う能力は限定的であるようです。しかし、ハッキングに精通し、熟練したAnonymousのメンバーは、制御システムのネットワークにアクセスし、侵入する能力を非常に迅速に開発することができるでしょう。 無料の教育機会(会議、講座)、ハッカー会議でのプレゼンテーション、その他の注目度の高いイベントやメディア報道により、ICSの脆弱性に対する認識が高まり、ICSを妨害するのに十分な戦術、技術、手順(TTP)を開発するのに必要な時間が短縮されたと考えられます。Metasploit release 4.0のような一般的な侵入テストソフトウェアでは、ハッキングの初歩的なスキルと、ほとんどまたはまったく制御システムの背景知識がなくても直接使用できる制御システムエクスプロイトがリリースされています。WireSharkやNetmonのような一般的なパケット検査ツールは、産業用プロトコルがサポートされるまでに改善されており、セキュリティ・バイ・オブスキュリティの有効性を最小限に抑えています。さらに、現在インターネットから直接アクセスできる制御システムもあり、インターネット検索エンジンのツールやアプリケーションを使って簡単に見つけることができます。これらのシステムは、最小限のスキルで簡単に見つけてアクセスすることができ、不正な活動を行ったり、将来の作戦に使用する偵察活動を行ったりするために侵入することができます。

(U//FOUO)Anonymousは最近、「グリーンエネルギー」イニシアチブの実績に基づいて、エネルギー企業を標的にするようメンバーに呼びかけています。このターゲティングは、Anonymousを超えて、より広範なハクティビストコミュニティにまで及ぶ可能性が高く、エネルギー企業に対するより大規模な行動につながる可能性があります。重要インフラの制御システムの資産所有者およびオペレーターは、制御システム資産のセキュリティニーズへの対応に取り組むことが奨励されます。


興味深いことに、Duquトロイの木馬は、個人のハッカーやハッキンググループ、あるいは外国の情報機関から生まれたものではないようです。むしろ、スタックスネットのように、このウイルスは、米国の情報機関の管理・指導の下で、おそらくイスラエルの情報機関と協力して作成されたものと考えられます。

DHSは、Anonymousやその他のハッキンググループによるグリッドへの攻撃の可能性について警告を発していますが、誰か(おそらく一匹オオカミのハッカーやAnonymousハッキンググループではない)が、積極的に私たちのインフラ制御システムの脆弱性を探っています。これらのシステムは、電力、水道、ガスパイプライン、石油精製所、金融取引所、さらには特定の軍事作戦を監視・制御するシステムです。

Duquトロイの木馬は、スタックスネットのようなハードウェア型の攻撃でシステムを積極的に停止させようとするのではなく、情報を収集していると報告されているため、現時点では差し迫った危険はないようです。

しかし、一度、個人のアクセスコード、セキュリティ証明書、特定のグリッドインフラの配置図など、必要な情報をすべて入手してしまえば、次のレベルに進むのはそれほど難しいことではありません。

主要な精製作業への攻撃、電力の連鎖的な停電、水道水に過剰な薬品を添加する都市部の浄水システム、ダムが破壊された場合に起こりうる大規模な洪水などの影響を想像してみてください。

あるいは、米国のドローン艦隊が最近、正体不明のトロイの木馬やマルウェアに攻撃され、高セキュリティの軍事システムへのアクセスコマンドやパスワードを記録されていたことを考えてみてください。米国民の敵が、武器システムを含む私たちのドローン艦隊全体にアクセスできるようになったら、どうなるでしょうか。

インフラシステムの危殆化による被害の可能性は、文字通り一夜にして何千万人もの無防備なアメリカ人の生活に悪影響を及ぼす可能性を秘めた、デジタル的な黙示録に他なりません。


翻訳:Claude3