産業用制御システムを狙うStuxnetに類似したマルウェア「IRONGATE」

『The Hacker News』

August 12, 2016 09:00
by 『The Hacker News』

セキュリティ研究者が洗練されたマルウェアを発見した。これは破壊工作マルウェアであるStuxnetのような仕掛けを用いたもので、産業コントロールシステム(ICS:Industrial Control System)や監視制御システム(SCADA:Supervisory Control And Data Acquisition)を標的にするために特別に設計されている。

6月に、セキュリティ企業 FireEye Labs Advanced Reverse Engineeringの研究者らが、「IRONGATE」と名付けられたこのマルウェアが、シーメンスの産業コントロールシステムに影響すると説明した。

マルウェアはシミュレーション環境だけで作動し、恐らく実際には使用されていないただの概念実証である。よって、まだ現実世界のシステムに影響を与えるほど高度なものではない。

IRONGATEマルウェアは「実運用されているSiemensのコントロールシステムに対して有効なものではない」「シーメンス製品のいかなる脆弱性もエクスプロイトしていない」と FireEye Labsのブログにシーメンスが上記のように言っていると伝えている

Stuxnetのような動作がいくつか含まれる手法から、研究者はこのマルウェアが興味をそそられるものだということに気付いた。

米国とイスラエルが開発したとされている破壊的マルウェアStuxnetは、イランの核施設を 妨害し、濃縮遠心分離施設を破壊した。

Stuxnetと同じように、IRONGATE は中間者攻撃技術を使用してPLC(Programmable Logic Controller)と正規のソフトウェア監視プロセスの間に入り込み、発動前に防衛体制をチェックし、自身の痕跡も隠す。

さらにはStuxnetのような中間者攻撃を実現するために、IRONGATEは有効なDLL(Dynamic Link Library)ファイルを悪意のあるコピーに置き換える。これはマルウェアが潜在的に特定のコントロールシステムの設定を狙うためのものだ。

DLLは、短いコードで、同時に別のプログラムで使用することができる。しかし、複雑さや拡散能力、地政学的な意味合いという観点でIRONGATE はStuxnetとは比べ物にならないと研究者は指摘する。

IRONGATEは、検知を免れる方法において Stuxnetとは違う。Stuxnetは、標的のシステム上の様々なアンチウィルスソフトウェアの存在だけを探す。一方 IRONGATEは、 VMWareや Cuckoo Sandboxのようなサンドボックス環境を探す。

FireEyeは2015年後半に、マルウェアのオンラインスキャナーであるVirusTotal にてIRONGATE の複数のバージョンを検知したという。しかし研究者らは、2014年2つのサンプルがVirusTotalにアップロードされていたことを確認した。

IRONGATEはどこかの国が作成したと思われるような洗練されたタイプのマルウェアではないことから、この研究チームはStuxnetの作成者がIRONGATE を書いたとは考えていない。

IRONGATEは概念実証か研究プロジェクトかただのテストなのかもしれないと FireEyeは言う。よって同社はマルウェアサンプルについてより知るために、詳細を公開したのだ。

しかし疑問はまだ残っている。IRONGATEを作成したのは誰なのだろうか。
 
原文:Irongate – New Stuxnet-like Malware Targets Industrial Control Systems
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…