最近、ニュースの見出し(「The Register」と「Slashdot」)でStuxnetマルウェアが取り上げられているのを見て、大規模発電所の付近住民は恐怖を覚えたかもしれません。2009年、このマルウェアはナタンツの核施設に重大な損害を与え、イランのウラン濃縮遠心分離機の五分の一を破壊したと言われています。しかし、Operation Dragonflyに関する最近の報告は(少なくとも今のところは)スパイ活動に焦点を合わせているようであり、攻撃範囲はStuxnetよりかなり広いようです。
最近、ニュースの見出し(「The Register」と「Slashdot」)でStuxnetマルウェアが取り上げられているのを見て、大規模発電所の付近住民は恐怖を覚えたかもしれません。2009年、このマルウェアはナタンツの核施設に重大な損害を与え、イランのウラン濃縮遠心分離機の五分の一を破壊したと言われています。しかし、Operation Dragonflyに関する最近の報告は(少なくとも今のところは)スパイ活動に焦点を合わせているようであり、攻撃範囲はStuxnetよりかなり広いようです。
Operation Dragonflyに関するさまざまな要素がOperation Shady RATと比較されています。Operation Shady RATでは、少なくとも最初の段階では、電子メールによって特定の個人が狙われました。ただしOperation Dragonflyは、具体的な動作についてより、重要なインフラストラクチャ、特に拡大し続けるサプライチェーンを構成するシステムの安全性について、非常に大きな懸念を呼んでいます。
この脅威については、昨年出版された『Applied Cyber Security and the Smart Grid: Implementing Security Controls into the Modern Power Infrastructure(応用的なサイバーセキュリティとスマートグリッド:近代の電力インフラストラクチャへのセキュリティ管理の実装)』(Raj Samani、Eric Knapp共著、Joel Langill編集)で詳しく述べられています。Dragonflyによるスパイ活動が別の攻撃につながる可能性があります。同書で、著者たちは次のように述べています。「SCADAとグリッド内の自動システムは、グリッド運用の内部作業のための青写真にもなる。これは貴重な知的財産であり、電力売買の支配から、グリッドインフラストラクチャやグリッド事業者を狙った武器としての攻撃の開発まで、さまざまな悪意ある目的で利用される恐れがある」
Operation Dragonflyで利用された主要ツールの1つは、Havexです。Havexリモートアクセスツール(RAT)の登場は(少なくとも)2012年中期までたどることができ、今回の攻撃やキャンペーンまたはアクターに限られるわけではありません。HavexはSYSMain RATと密接な関係があり、その派生物かもしれません。これらを組み合わせた例も見られます。トロイの木馬は、スピアフィッシング、水飲み場型攻撃、エクスプロイトキット(LightsOutなど)などに含まれて配布されます。このファミリーはOLE for Process Control(OPC)サーバーを利用します。
Havex RATが産業管理システム所有者を狙った方法は巧妙でした。スピアフィッシングに加えて、管理システムベンダーのWebサイトが水飲み場として利用され、RATのピンポイント配送が確保されました。その次の段階であるOPCサーバーの列挙も巧妙かつ非常に慎重です。このマルウェアは、新型のOPCが備えているセキュリティ機能を持たないOPC Classicの列挙に的を絞っています。このことは、攻撃者に産業セキュリティに関する知識があることを示唆しています。この知識は、「隠蔽によるセキュリティ」の恩恵を受けている、ある意味でニッチな知識です。したがって、最大の懸念は、やはり産業プロトコルを狙ったマルウェアではないかということです。
『Applied Cyber Security』の中で、著者たちは次のように述べています。「産業プロトコルは、それ自体がサイバーセキュリティの課題である。・・・これらのプロトコルの大部分は、コマンドと制御機能をシステムに提供しているので、それが中断されると、[さまざまな重要システム]に障害が発生する恐れがある」
「産業プロトコルは、それ自体がサイバーセキュリティの課題である。・・・これらのプロトコルの大部分は、コマンドと制御機能をシステムに提供しているので、それが中断されると、変電所の自動化、動的負荷管理、障害分離、および保護システムにも障害が発生する恐れがある」
特にOPC Classicを狙うことによって、攻撃者は、より脆弱なレガシーシステムを発見できます。OPCは極めて一般的であり、ほとんどすべての業界の、ほとんどすべての産業環境内のさまざまな主要システムとインターフェースできます。ネットワーク設計の観点から言うと、OPCは多種多様なポートを使用します。OPCがトンネル化されない限り、OPCの通過を許可するファイアウォールは、スイスチーズのようにオープンです。Havexについて学ぶべきことは、まだまだ多いですが、この出来事を契機として、資産所有者はOPCサーバーの強化と、この種の攻撃を想定したネットワーク評価を行うべきです。手始めに、アプリケーション層のファイアウォールを使用しているOPCの検査・実施が必要です。OPC固有の脆弱性を克服する業界規模の努力がなければ、Havexは、DistTrack(別名Shamoon)、Duqu、Stuxnet、Gaussと同様に、制御システムのリモートコマンドが可能な、破壊的な「産業」RATであることを証明するでしょう。そんなことは、だれも望んでいません。
詳しくは、『Applied Cyber Security and the Smart Grid』を参照してください。
※本ページの内容はMcAfee Blogの抄訳です。
原文:Operation Dragonfly Imperils Industrial Protocol
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)