OT環境の侵害に特化したマルウェアが登場 ウイルス対策ソフトでは検知不可：Cybersecurity Dive

DragosはOTシステムの侵害に特化したマルウェア「FrostyGoop」を観測した。FrostyGoopはウクライナのエネルギー供給業者に対して実行された2024年1月のサイバー攻撃に関連していたとみられる。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むDragosの研究者は、2024年7月23日（現地時間、以下同）に発表したレポートの中で（注1）、OTシステムに特化した新たなマルウェアが、伝送制御プロトコル「Modbus」における通信を使用してOT環境を攻撃していると警告した。

　同社は、Modbusについて「世界中のあらゆる産業部門や組織における標準的なICSプロトコルである」と述べている。

OT環境の侵害に特化したマルウェアが登場　ウイルス対策ソフトでは検知不可

　Dragosの研究者は、「FrostyGoop」と名付けられたこのマルウェアのバイナリを2024年4月に発見した。同社によると、Modbusは世界中の4万6000以上のシステムで使用されている。このマルウェアは世界中のOTシステムに潜在的なリスクを広くもたらしている。

　研究者らは、2024年1月に起きたウクライナのリヴィウのエネルギー企業へのサイバ―攻撃でこのマルウェアが使用され、市内の600棟以上のアパートにおける暖房供給を妨害したとしている。Dragosは「攻撃者は2023年4月に、Mikrotikのルーターの脆弱（ぜいじゃく）性を悪用してWebシェルを展開し、後にユーザー認証情報にアクセスすることで、市営の地域エネルギー企業のシステムに侵入した」と説明した。

　Dragosによると、FrostyGoopはOTシステムを標的とした史上9番目のマルウェアであり、OT環境を攻撃するためにModbusにおける通信を使用した最初のマルウェアだという。

　2022年に発見されたハッキングツール「Pipedream」は（注2）、Modbusをコンポーネントの一つとして使用している。Pipedreamは「Incontroller」としても知られている。

　FrostyGoopはプログラミング言語「Go」によって書かれており、ポート502を経由し、Modbus TCPを使用してOTシステムとやりとりする。

　レポートによると、ウクライナの攻撃において、ハッカーはModbusのコマンドをEncoコントローラーに送信し、システムの測定値を不正確なものとし、誤動作を引き起こした。

　このマルウェアは、OTシステムを防御する者に潜在的な危険をもたらす。アンチウイルスソフトは現在のところFrostyGoopを検出できず、このマルウェアは公衆インターネットに接続された標的を攻撃するために使用されている。Dragosによると、事前の侵害は必要ないという。

　Dragosのマグピー・グラハム氏（インテル能力技術ディレクター）は、2024年7月19日のメディア向けプレゼンテーションの中で「これらのデバイスは、誰もがインターネットで容易にアクセスできるものだ」と述べた。

（注1）Intelligence Brief: Impact of FrostyGoop ICS Malware on Connected OT Systems（DRAGOS）
（注2）Authorities warn dangerous new malware can shut down, sabotage industrial sites（Cybersecurity Dive）