イランのイスラム革命防衛軍のハッカーが、上下水道施設を攻撃：Cybersecurity Dive

Unitronics PLCの機器に対する現在進行中のサイバーキャンペーンは、米国の複数の水道施設に影響を与えており、当局はエネルギー業界や医療業界、食品および飲料製造業界も監視している。

[David Jones，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と米国連邦捜査局（FBI）は2023年12月1日（現地時間、以下同）にイスラエルおよび他の米国機関と共同で、以下のような警告を発した。

　米国の上下水道施設で使用されている機器を標的にした一連のサイバー攻撃の背後には（注1）、イランのイスラム革命防衛軍に所属するハッカーが存在している。

　脅威グループの「Cyber Av3ngers」は、イスラエル製のUnitronics Vision Seriesのプログラマブルロジックコントローラー（PLC）を標的にしており、これは上下水道施設の他にエネルギー業界や医療業界、食品および飲料製造業界でも使用されている。

　当局によると、ハッカーは遅くとも2023年11月22日以降に、デフォルトの認証情報を使用する機器に不正なメッセージを送り、それらを操作不能にする可能性があるという。攻撃に詳しい情報源によると、全米で少なくとも6つの施設が影響を受けている。

虚偽の攻撃を主張するCyber Av3ngers

　これらの攻撃は、米国における上下水道施設のセキュリティへの懸念が高まる中で実行された。公共飲料水をはじめとする水道施設のセキュリティは、CISAと環境保護庁の主要な焦点である。これらの機関は2023年3月に水道システムの監査を義務付けようとしたが（注2）、後に法的な異議申し立てを受けて計画を撤回せざるを得なかった（注3）。

　Cyber Av3ngnersは、ペンシルバニア州のアリクイッパの水道局に対する2023年11月下旬の攻撃に関連している（注4）。当局によるとこのハッカーは2020年以降、イスラエルを標的にしており、重要インフラに対する攻撃について誇張された虚偽の主張をしてきた過去があるという。

　Google Cloudの一部門であるMandiant Intelligenceの主任アナリストのジョン・ホルトキスト氏は電子メールで「これらの施設で水道を停止させたとしても、彼らの目標は変わらないだろう。彼らは私たちの安全を損なおうとしている。専門知識や誇張を駆使して実行するかどうかは重要ではない」と述べた。

　セキュリティ事業を営むForescoutが2023年11月29日に発表した調査によると（注5）、全世界でインターネットに公開されているUnitronics PLCのデバイスは1800台以上ある。そのうちの数十台はシカゴやダラス、チェスターフィールド（サウスカロライナ州）を含む米国の複数の場所で公開されている。

　非営利のセキュリティ組織であるShadowserverの研究者は「2023年12月2日の時点で539台のUnitronicsのインスタンスが公開されている」と報告している（注6）。

　これらのデバイスを使用する組織は、直ちにデフォルトのパスワードを変更し、PLCを公共のインターネットから切り離し、OTネットワークへのアクセスを保護するために多要素認証を導入する必要がある。

　勧告によると（注7）、2023年9月13日から同年10月30日にかけて、Cyber Av3ngersはイスラエルの重要インフラに対する多数の攻撃をTelegram Channelsで主張した。しかし、主張の多くは虚偽であったとされている。一方で、他の攻撃には虚偽でないものもある。

　上下水道施設では、ここ数週間ですでに複数の攻撃が記録されている。2023年11月にはテキサス州北部で、脅威グループの「Daixan Team」に関連したランサムウェア攻撃の疑いが報告された（注8）。

　アトランタを拠点とするMueller Water Productsに対する2023年10月のランサムウェア攻撃は（注9）、同社の業務を中断させ、同年9月30日で終了する会計年度の業績報告を遅らせた。アメリカ証券取引委員会（以下、SEC）への提出書類によると（注10）、同社は同年11月29日に、最終的に事件を収束させ、2023年度の業績を遅くとも同年12月14日までに報告すると発表した。

　ニュージャージー州カムデンを拠点とするAmerican Waterは、全米最大の上下水道事業者であり、今回の攻撃による影響はなかったとしているが、「システムのセキュリティを維持するために幾つかの対策を講じており、潜在的な脅威に対する準備のために地元や州、連邦の当局と協力している」とも述べた。

　同社の広報担当者は、電子メールで「サイバー脅威の巧妙さを認識し、サイバー攻撃が発生した場合の影響を理解し、被害を最小限に抑えることに焦点を当てている。常にサイバー対応プロトコルをテストしている」と説明した。

（注1）CISA and Partners Release Joint Advisory on IRGC-Affiliated Cyber Actors Exploiting PLCs（CISA）
（注2）EPA unveils cybersecurity oversight for public drinking water systems（Cybersecurity Dive）
（注3）EPA rescinds rule to include cybersecurity in water system audits after legal challenge（Cybersecurity Dive）
（注4）CISA warns of threat groups exploiting Unitronics PLCs in water treatment hacks（Cybersecurity Dive）
（注5）Hacktivists attack U.S. water treatment plant analysis and implications（Forescout）
（注6）Shadowserver（X）
（注7）IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities（CISA）
（注8）North Texas water utility the latest suspected industrial ransomware target（Cybersecurity Dive）
（注9）Mueller Water Products Business Update （MUELLER）
（注10）MUELLER WATER PRODUCTS, INC.（SEC）

原文へのリンク