エネルギー業界を狙う攻撃が急増、妨害工作に発展の恐れも

[鈴木聖子，ITmedia]

　米Symantecは9月6日のブログで、欧州と北米のエネルギー業界を狙ったサイバー攻撃が急増していると伝えた。攻撃側は狙った組織の運用に重大な障害を発生させる能力を獲得している可能性もあると指摘している。

エネルギー業界を狙ったサイバー攻撃が急増

　Symantecによると、エネルギー業界を狙った攻撃に関与しているのは「Dragonfly」と呼ばれる集団で、2011年ごろから活動が確認されている。2014年にはいったん沈静化していたが、2年ほど前から活動を再開し、2017年に入ってさらに活発化しているという。

　「Dragonfly集団は、エネルギー施設の運用に関する情報を収集することにも、稼働しているシステムそのものにアクセスすることにも関心を持っているらしい。その気になれば、システムを破壊あるいは制御できるだけの潜在能力を秘めている」とSymantecは解説する。

　Dragonflyは悪質なメール、水飲み場型攻撃、トロイの木馬などのマルウェアを仕込んだソフトウェアを通じて狙った組織のネットワークに侵入を試みる。標的型メールにはエネルギー業界に関連した具体的な内容や、ビジネス関連の一般的な内容が記載され、開封すると、悪質な添付ファイルを通じて被害者のネットワーク資格情報を外部のサーバに送信しようとする。

　エネルギー業界の関係者が閲覧しそうなWebサイトを改ざんして、不正なコードを仕込む水飲み場型攻撃や、正規のソフトウェアに侵入してマルウェアを拡散する手口、Flashのアップデートに偽装したファイルを使って悪質なバックドアを標的のネットワークにインストールする手口なども見つかっているという。

　こうした攻撃の目的について「Dragonflyの初期の活動は調査段階にすぎず、攻撃者は単純に、狙った組織のネットワークへのアクセスを確立しようとしていただけの可能性がある」とSymantecは推測する。しかし今回新たに浮上した攻撃では、これが新たな段階に入り、稼働中のシステムに対して確立したアクセスが、破壊目的で利用される可能性もあると予想している。

　「Dragonflyは多様な手段で狙った組織に侵入でき、資格情報を盗み出して標的のネットワーク内を自在に移動する。利用しているマルウェアの範囲も広く、その一部はカスタム開発されたと思われる」とSymantecは解説。活動拠点も背後関係も特定は困難だが、「その気になれば狙った組織を物理的に阻害できるだけの能力を備えていることは間違いない」と指摘している。

Dragonflyについて報じるSymantecのブログ