インテル セキュリティで、サイバー戦略室 シニア・セキュリティ・アドバイザーを務める佐々木弘志です。重要インフラセキュリティやIoT(Internet of Things)セキュリティを専門としています。
2016年の年始、お正月気分に水を差すように、重要インフラセキュリティに関する大きなニュースが飛び込んできました。それは、昨年末にウクライナにおけるサイバー攻撃によって、数時間に渡る停電が発生したというニュースです。過去、サイバー攻撃が原因と思われる停電は他国でも発生していましたが、政府が公式に発表したものとしては世界初の事例と言われています。
先週、インテル セキュリティはこの攻撃に関する専門家のブログの日本語版「さらに強力になったトロイの木馬Black Energy~ウクライナの電力システムへのサイバー攻撃の裏側」を公開しました。他にも、この攻撃で使用されたマルウェアに関する記事は多く見られますので、マルウェア動作の詳細はそちらを見ていただくとして、重要インフラセキュリティの専門家として、私がこの事件をどう捉えたかについてご紹介したいと思います。
~事件の経緯~
まずは、本事件の経緯について、簡単にご紹介しようと思います。
2015年12月23日、ウクライナ西部の都市イヴァーノ=フランキーウシク(івано-франківськ)周辺で数時間に及ぶ停電が発生しました。ウクライナ保安庁(SBU)は、この停電がロシアのサイバー攻撃によるものであると発表しています。数時間で停電が済んだのは、手動に切り替えて復旧したからとのことです。これまで、さまざまな研究機関やセキュリティベンダー(SANS、シマンテック、ESETなど※1)が、この攻撃に使用されたと思われるマルウェアについてのレポートを発表していますが、実際の侵入経路や、最終的な停電をもたらした攻撃が、マルウェアによるものなのか、内通者によって手動でなされたものなのかについても、現時点では明らかになっていません。
~同時多発的な攻撃手法~
したがって、この攻撃についての最終的な結論が出るのは、まだまだ先のことと思われるのですが、これまで報告されている攻撃手法について簡単にまとめてみました。
- 攻撃者は、標的型メールを用いてBlackEnergyと呼ばれるマルウェアを情報システムに感染させ、監視制御システムのHMI(Human Machine Interface: 電力システムのオペレータの操作端末)に感染を拡大した。
- HMIと制御装置との通信に用いる通信ソフトのドライバをKillDiskというマルウェアで機能できなくした結果、監視制御システムと、電力システムとの通信ができなくなる。(通信が途絶えたことによって停電したのか、だれかが手動で停電を発生させたのかは、現時点では見解が分かれている。)
- 電力会社への停電に関する照会の電話を通じにくくするために、電話システムへのDOS攻撃が発生
いくつかのレポートでも示されているように、本攻撃は、内通者の存在も含めて、かなり前から用意周到に計画されていたのではないかと思われます。電話システムに対するDOS攻撃など、同時多発的な攻撃を行って、攻撃の効果を最大化する手法は、さながら軍事作戦のようです。この攻撃は、米国のスマートグリッドに対するセキュリティガイドライン(NIST IR 7628)で懸念されていた攻撃手法が現実化したようにも見えます※2。このガイドラインの中で、物理的な攻撃とサイバー攻撃を組み合わせた例として、物理的な攻撃で停電を引き起こしてからの復旧を遅らせるためのDOS攻撃も考えられるという記述がありました。一般的に、攻撃者は、非常に研究熱心ですので、このガイドラインの記述を参考にしたのかもしれません。
~日本の電力システムだとしたら?~
では、日本の電力システムはウクライナと同様の攻撃に耐えられたのでしょうか?現時点で断言は難しいですが、おそらく、全く同じマルウェアを用いたのであれば攻撃は成立しなかったのではと思います。理由は、本攻撃に使用されたマルウェアが、インターネットを経由して外部サイトと接続して、必要なツールをダウンロードしているためです。実際、これらのマルウェアが、ドイツやオランダのサーバーに接続しようとする機能を持っていることが分かっています。ですが、日本のように、電力システム制御に用いる回線が電力会社によって自営されているケースでは、この攻撃をダイレクトに成立させることは難しいと思われます。
とはいえ、今回の事件は、偶発的なマルウェア感染によって引き起こされたものではありません。攻撃者は、その対象によって、攻撃手段を変えてくることは自明の理です。日本の電力システムについても攻撃の可能性があるものだとして備えをしておくことは言うまでもなく大切なことですし、意図を持った攻撃者が、方法はどうあれ、停電を起こすことに成功しているという事実は、私の気持ちを大変重くさせるものでした。
実は、さらに、私の気を重くさせる報告があります。本攻撃に用いられたマルウェアを解析したKnownSec社のレポートによれば、攻撃に使われたマルウェアの中に、目的不明な日本語の文字列が含まれていたということです※3。なぜウクライナへの攻撃に日本語が含まれているのかはわかりませんし、使いまわしたツールにたまたま含まれていたということも考えられるので、「実は日本も標的だ!」などという早計をすべきではありませんが、今回の事件は、日本には関係ないなどという甘い認識はすぐに捨てたほうが良いように思える痕跡です。
~これからの重要インフラセキュリティに求められること~
ウクライナでの事件の教訓は、「攻撃者が、重要インフラを攻撃する場合に一番重視することは、結果として、対象物の可用性を失わせること(停電などを引き起こすこと)であって、サイバー攻撃は、それを実現するための手段に過ぎない。」ということです。
私は、サイバーセキュリティの専門家として、こういう事件において、マルウェアがどのような動作をしたのか、攻撃経路はどうであったかを明らかにすることは、今後のセキュリティ対策の技術の発展のためには、とても重要だと考えますが、同時に、次への攻撃への備えとして、同じような攻撃だけに備えておけばよいというのは、ナンセンスだと考えます。
今回の攻撃では、内通者との連携というサイバー空間だけに留まらない多面性を持ち、また、軍事作戦的な発想に近い同時多発的な性向が見られました。もはや、重要インフラに対するサイバー攻撃は、単なる標的型サイバー攻撃の枠を超えた、軍事的な「作戦活動」へと進化していると見るべきです。
したがって、われわれ防護する側としても、これからは、サイバーセキュリティだけを考えるのではなく、もっと多面的な見地に立って、例えば、物理セキュリティとの連携であったり、軍事的な防御の知見を取り入れるなどの取り組みが必要になっていくと考えられます。そして、その際に最も重視すべきは、「いかに攻撃されないかではなく、いかに攻撃を受けたあと早く復旧するか。」です。今回のウクライナの攻撃では、手動に切り替えることで、数時間で停電から復旧しました。この復旧に対して、その対処が早かったとして、ウクライナの電力会社は、一部のメディアから称賛を受けています。
レジリエンス(回復性)と呼ばれるこの考え方は、重要インフラのように可用性を重視するシステムでは最も大切とされます。レジリエンスを実現するためには、場当たり的なセキュリティ対策の実施ではなく、組織体制や、社外の脅威情報共有、サイバー演習等の教育も含めた包括的な備えが必要となるでしょう。
今後の日本の重要インフラセキュリティの発展に、このウクライナの事件が正しく教訓として生かされるように、インテル セキュリティは、これまで以上に、コンサルティング活動及びソリューションの提供を通じて、積極的な貢献をしていく所存です。
※1)SANS ICS: Confirmation of a Coordinated Attack on the Ukrainian Power Grid
ESET: BlackEnergy Trojan strikes again: Attacks Ukrainian electric power industry
※2)NIST IR 7628 rev.1 p.13 に、以下の記述がある。
Another example is after a physical attack, an adversary performing DoS attacks on the availability of systems and facilities that support restoration activities. These attacks disrupt the restoration, prolonging the resulting outages. 「他の例として、物理的な攻撃のあと、攻撃者が復旧に関する作業を補助するシステムや施設の可用性を失わせるためのDOS攻撃を実行することが挙げられます。これらの攻撃は、復旧を妨害したり、停電を長引かせたりします。」
※3)KnownSec