産業制御システムベンダーのWebサイトが改ざん、インストーラにマルウェア

攻撃者はICSベンダーのWebサイトを改ざんし、正規のソフトウェアインストーラをトロイの木馬に置き換えて、顧客にダウンロードさせていたとみられる。

[鈴木聖子，ITmedia]

　フィンランドのセキュリティ企業F-Secureは、産業制御システム（ICS/SCADA）を標的とするマルウェアの「Havex」が、ICSベンダーのWebサイトを改ざんして顧客にダウンロードさせる手口で配布されていたことが分かったと伝えた。

　F-Secureの6月23日付ブログによると、HavexはICS/SCADAシステムの搭載マシンに感染し、データを収集するなどの機能を持つ。今回見つかった手口では、攻撃者が侵入先の企業のICS/SCADAシステムの制御を狙っていることをうかがわせるという。

　マルウェアに感染させる手口には、スパムメールや脆弱性悪用キットのほか、ICSベンダーのWebサイトを改ざんしてトロイの木馬化されたインストーラを仕込む手口が使われていた。

　攻撃者はベンダーのWebサイトの運営に使われているソフトウェアの脆弱性を利用して侵入し、正規のソフトウェアインストーラをトロイの木馬化したインストーラに置き換えて、顧客にダウンロードさせていたとみられる。

　F-Secureはベンダー3社のWebサイトがこの方法で改ざんされ、Havexを仕込んだソフトウェアインストーラーが配布されているのを発見したと報告。同様のケースはほかにもあると推測している。

　Webサイトが改ざんされていたのはドイツ、スイス、ベルギーのベンダーで、このうち2社はICSシステム向けのリモート管理ソフトウェアを、残る1社は業務用高精細カメラと関連ソフトウェアを製造しているという。

　マルウェア感染の被害に遭った企業は複数の業界に及ぶとされる。Havexはエネルギー業界を集中的に狙っているとも伝えられていた。