OTシステムへの攻撃はすぐそこまで来ている マルウェア解析から分かった攻撃者の狙い：CODE BLUE 2023レポート

サプライチェーン攻撃の激化に伴い、ITシステムだけでなくOTシステムを狙ったサイバー攻撃が本格化する恐れがある。OTを狙ったマルウェアの実態と攻撃者の目的をリサーチャーが語った。

[宮田健，ITmedia]

　サプライチェーン攻撃が激化する昨今、セキュリティ担当者はITだけに限らずOTの領域も含めた広範な対策を講じる必要がある。このポイントはどこにあるのだろうか。

　OTシステムのサイバー攻撃やセキュリティをウォッチしてきたGoogle Mandiantのダニエル・カペルマン・ザフラ氏（分析マネージャー）が、制御系システムにおけるサイバー攻撃の変化や高度に特化されたマルウェアとその背景にある事実、重要インフラの守り方を解説した。

本稿は「CODE BLUE 2023」（2023年11月8〜9日）におけるダニエル・カペルマン・ザフラ氏の講演「サイバーフィジカル攻撃能力のルネッサンス」を編集部で再構成した。

OTシステムを狙った攻撃の歴史とユニークなマルウェアとは？

　ザフラ氏はサイバーフィジカル脅威インテリジェンスと情報操作の戦略的カバレッジを監督しており、データを収集・分析するソリューションの開発をコーディネートする専門家だ。

　ザフラ氏は、はじめにサイバーとフィジカルの攻撃の進化を取り上げた。同氏によると、工場や重要インフラなどのOTと呼ばれる分野は、ITシステムと比べるとセキュリティ対策に大きな乖離（かいり）があり、制御盤や工場内の装置などはセキュリティが整っておらず、ネットワーク内の孤立した個別の装置をそれぞれ見なくてはならないという。

　この現状を踏まえて、同氏は最近登場したマルウェアの傾向や攻撃能力の高まりによって現実世界にどのような影響を及ぼしているかを語る。

　「OTシステムへの攻撃は比較的歴史が浅く、2010年に登場したマルウェア『Stuxnet』が大きな注目を集めた。これは複雑な攻撃だったが、イランにおける特定の遠心分離デバイスを標的にした単発の事象だった。2015〜2016年にウクライナにおいて何回かの停電が発生したが、これはロシアによる攻撃能力のテストだったのではないかと推測されている。2017年には安全装置に攻撃を仕掛け、設備に影響を与えたマルウェア『Triton』が見つかった」（ザフラ氏）

　ザフラ氏はこの流れから、OTに対する攻撃はさらに高度化し、複雑化すると考えていたが「実際に目にしたのはその逆で、物事はよりシンプルになった」という。「実際にはランサムウェアがOTシステムに影響を及ぼし、新しい攻撃を仕掛ける小規模な脅威アクターが複数登場した」（同氏）

　特に2022〜2023年の2年間は爆発的な変化が起きた。その中でもザフラ氏が注目したのは「COSMICENERGY」と呼ばれるマルウェアだ。

　COSMICENERGYはOTを狙ったマルウェアで、ある脅威アナリストが発電所のシステムで2021年12月に初めて発見したものだ。遠隔端末装置（RTU：Remote Terminal Unit）で使われる、電力システム向けの通信プロトコル「IEC 60870-5-104」（IEC-104）に影響を与える。サンプルが抽出された当初の分析では、ロシアによるウクライナ攻撃のテストであり、その能力は過小評価されていた。

　このマルウェアは「PIEHOP」と「LIGHTWORK」という2つのモジュールで構成されていて、PIEHOPは「Python」で開発されている。「Microsoft SQL Server」を利用するいわゆる一般的なマルウェアの構成を採る。

　PIEHOPはホストを侵害し、2つ目のモジュールであるLIGHTWORKを展開後、自身を削除する。LIGHTWORKはOTに対する侵害機能を持ち、IEC-104で通信してRTUに影響を与える。ザフラ氏によると、IEC-104で通信する多くのデバイスは脆弱（ぜいじゃく）であり、適切なフォーマットで通信すれば任意の状態にRTUを変更できるという。

　ザフラ氏は「これらのマルウェアの挙動自体は単純だ。ではこの目的は何かというと、紛争状態にある敵国に対して“こういったこともできる”という“心理的なプレッシャー”を与えることだ」と分析した。

　なお、実際に攻撃を実行するには、RTUがどこに存在するかといったOTシステムの構成情報を把握しておく必要がある。また、取得したサンプルは完璧とは言いにくく、エラーが幾つも発生した他、実行できないコマンドもあったという。

　その後のリサーチ結果として、ザフラ氏のチームはCOSMICENERGYを「レッドチーム用のツールではないか」と推測した。

COSMICENERGYを解析して分かったこと

　レッドチームとは、サイバー攻撃の実証的なテストとして、システムの安定運用やデータ漏えい防止などのゴールを設定し、アナリストが疑似的にサイバー攻撃を仕掛け、そのゴールが達成できているかどうかを判断するものだ。COSMICENERGYの発見後、ザフラ氏のチームはコードの中に「Solar Polygon」の文字列を発見した。

　このキーワードが何らかのプロジェクトではないかと考えたザフラ氏は、ロシアの通信会社Rostelecomが最近「ソーラー」という、サイバーセキュリティの企業を買収していることを発見した。彼らはロシア国防省から補助金を受け取り、さまざまなセキュリティトレーニングやサイバー演習を実行していた。

　警察官が射撃訓練をする場所は「ポリゴン」と呼ばれるが、「ソーラー」でもサイバー演習を「ポリゴン」と呼んでいた。ザフラ氏はこれを踏まえて、「COSMICENERGYは発電所や配電設備などを対象としたサイバーセキュリティのレッドチーム演習で使われるツールなのではないか」と考えた。

　ザフラ氏によると、OTを狙った大規模な攻撃の中でも、2016年に電力網の配電や送電設備を標的にした「INDUSTROYER」と呼ばれる攻撃や、2022年に実行された「INDUSTROYER V2」と呼ばれる攻撃にCOSMICENERGYとの類似点が多く見つかったという。「つまりこれらの攻撃のアイデアがCOSMICENERGYに引き継がれている可能性がある」（同氏）。

　これらの攻撃の特徴は、ITシステムによく利用されるMicrosoft SQL ServerがOTシステムにもつながっていることに着目している点だ。この他、マルウェアのコードにはウクライナのエネルギー施設でテレメトリーに使われる特定のソフトウェアの名称が含まれていた。このことからマルウェア開発者がOTシステムを熟知していることがうかがえる。

　ザフラ氏は次に攻撃者たちがCOSMICENERGYをどう悪用するのかを話した。

　同氏によると、このマルウェアは悪意のある特定の目的で開発されており、野放しで使用される可能性は低いという。攻撃者は定期的にこうしたレッドチームのツールを利用しており、これによって攻撃への参入障壁は下がっている。攻撃ツールはより軽量になり、他のマルウェアとの組み合わせでより大きなインパクトを与えられる。

　ザフラ氏は「過去には国家が請負業者を使ってこのような攻撃ツールを開発していた」と指摘した。同氏によると、2022年にロシアが同国のIT請負会社NTC Vulkanに「要件定義」を提供し、サイバースパイ活動を含むサイバー作戦を実行するための包括的なフレームワークやトレーニングプラットフォームの開発を委託していたという。

OTを狙うサイバー攻撃を防ぐための3つの手掛かり

　ザフラ氏は、直近で注意すべきOTの脆弱性として、産業オートメーションやITシステムを製造する米国企業Rockwell Automationの制御機器に関する「CVE-2023-3595」と「CVE-2023-3596」を挙げた。

　この制御機器は多くの場所に使われていて、影響範囲が広大であるのに加え、一つ一つは大したことなくてもこれらの脆弱性を組み合わせることで、複雑な攻撃を実行できる可能性がある。

　「一つ一つはシンプルで小さなツールだが、あなたを攻撃する力があることを忘れてはいけない。機能が限られているCOSMICENERGYも意図を持てば凶器となる。つまり、攻撃の可能性とは『ツール』と『意図』の組み合わせである」（ザフラ氏）

　では、こうした脅威をどのように発見してどう対処すべきだろうか。ザフラ氏はOTを狙ったマルウェアの手掛かりとなると思われる可能性を3つ挙げる。

　1つ目は「設計上安全ではないプロトコルの悪用」だ。LIGHTWORKによるIEC-104プロトコルの悪用など、設計上安全ではないOTプロトコルを利用するマルウェアに注意する必要がある。

　2つ目は「マルウェア開発またはパッケージングにおける『Python』の使用」だ。OTレイヤーではPythonを利用しているケースは少ないため、プロセス制御のドメインでPythonで作られた何かが動いていたとしたら、それを手掛かりにした脅威ハンティングが可能になる。

　3つ目は「プロトコル実装のためのオープンソースソフトウェア（OSS）ライブラリの使用」だ。OTではITで使われない特殊なプロトコルが利用されるが、OSSライブラリを利用していたなら、これも脅威ハンティングが可能になる。

　ザフラ氏は最後に「OTへの攻撃は参入障壁が下がり、洗練された攻撃チームでなくても実行できるようになっている。攻撃者はCOSMICENERGYといったマルウェアを再利用して他のマルウェアにも展開していることから、これまでの知識を基に防御を展開してほしい」と語った。