2016年サイバーセキュリティ重大トピックス (4) ついに社会インフラへのサイバー攻撃による実害が発生。ウクライナでマルウェアによる大規模停電

西方望

December 28, 2016 07:03
by 西方望

現代では、電気・ガス・水道・交通などの社会インフラもコンピューターで管理されている。こういったシステムに対するサイバー攻撃は以前より懸念されていたが、どちらかといえばフィクションのハッカーが行う絵空事のようなイメージが強く、その脅威を現実的なものとして捉えていたのは一部の専門家だけだった。

しかし2010年、マルウェア兵器Stuxnetがイランのウラン濃縮用遠心分離施設に大きなダメージを与えたことが明らかになると、産業用制御システムへのサイバー攻撃は一気に現実味を帯びる。ウラン濃縮施設という国家の最重要施設でさえ、マルウェアの侵入を許し機器の制御を乗っ取られてしまったのだ。基本的には民間企業が運営している発電所や上下水道設備に対して攻撃が不可能というはずはない。

ウクライナの電力会社がダウン

とはいえ、これまでそういった社会インフラへの実際の攻撃はほとんど確認されてこなかった。いくつか疑われる事件はあったものの、サイバー攻撃により何か明確な実害が出たという例はなかったと言っていい。しかしそれはインフラが狙われていない、という意味ではない。日本でも高速増殖炉もんじゅのPCがマルウェアの侵入を許した(これはもんじゅを直接狙ったものでない可能性は高いが)し、韓国国水力原子力から原発の資料が流出する事件もあった。今年になってからも、ドイツのグンドレミンゲン原発でのマルウェアによる被害が明らかになっている。

サイバーな方面ではないが、今年3月に起きたベルギーのブリュッセルで多数の死傷者を出したテロ事件でも、犯行グループが原発関係者の監視をしていたという。テロリストや、敵対国を混乱させたいハッカーは、社会インフラを常に虎視眈々と狙っていると見るべきだろう。

単独ハッカーや、世間にアピールしたいハッカーグループにとっても、もしインフラ攻撃に成功して社会を混乱させることに成功すれば大きな勲章であり、できるのであれば標的にすると思われる。だがインフラなどで使われる産業制御システムは個人レベルで入手し解析できるようなものではないため、切り口が限られてしまう。やはりインフラへの脅威となるのは、国家レベルの巨大組織がバックに存在するハッカーである可能性が高い。

そして2015年の末、とうとう実際にサイバー攻撃により社会インフラが攻撃され実害が出たと思われる事件が起きた(昨年の事件ではあるが詳しく報じられるようになったのは今年になってからであり、昨年の十大ニュースには間に合わなかったので今年とさせていただく)。

2015年12月23日の現地時間午後4時ごろ、ウクライナの西部イヴァーノ=フランキーウシク州の広い地域で、複数の電力会社が数時間以上にわたる大停電を起こした。この季節のウクライナは気温がかなり下がり、しかも夕方ということもあり暖房のため電力需要は増加していたと思われるが、供給量が需要に追いつかず停電したというわけではない。停電を起こした電力会社の1つであるプリカルパチャ・オブエネルゴ社は早々に、この停電は外部からのサイバー攻撃によるものだと発表。ウクライナ保安当局も後にこれを認めている。

後の調査で、BlackEnergyと呼ばれている古くから知られているトロイの木馬型マルウェアの亜種が電力会社に侵入していたことが判明。これは偽装メールによって入り込んだと見られている。そして、KillDiskあるいはDisaKilなどと呼ばれるワイパー(消去)マルウェアを利用して社内ネットワークのファイルや、機器との通信や制御を行うサービスを停止させることにより、停電を発生させたという。

ロシアのサイバー攻撃か?

この攻撃の犯人について、ウクライナは当初からロシアを名指しで非難している。いくつかのセキュリティ企業も、ロシアの国家支援ハッカーグループの1つと目されているSandworm Teamの可能性が高いと指摘。Sandworm Teamは、以前からエネルギー企業や産業制御システムなどへの侵入を行っているとされてきた。言うまでもなくウクライナとロシアの現在の関係は最悪であり、責任を追及されない攻撃方法としてロシアがサイバー攻撃を仕掛けるということは十分あり得るだろう。

ただ、もちろん具体的な証拠はない。また、ロシアによる攻撃だとしても、中途半端な感は否めない。数時間の停電では一時的にわずかな混乱を来すだけであり、示威行為としても少々不足ではないだろうか。とはいえ厳冬期に同じ攻撃を行っていたら凍死者が出た可能性もあるので、まずはソフトに力を試したということかもしれない。あるいはもっと大規模な攻撃にするつもりだったが単に失敗した、ということも考えられる。

今回の事件で興味深いのは、停電と同時に同地域の電話がつながりにくくなったということだ。これにより電力会社は地域住民からの通報が受けにくくなり、状況の把握に時間がかかったという。この原因は犯人がいわば電話に対するDoS攻撃を行ったためだとされている。パソコン通信時代を思い出す人もいるであろう古典的な手法だが、実際ある程度の効果はあったと見るべきだろう。

また、ネットワークと電話に同時に攻撃を仕掛けたということからも、犯人の計画性がうかがえる。このように、サイバー攻撃は他の攻撃と組み合わせることによって、より高い効果を得られる場合も多いということは注意が必要だ。いずれにせよ、サイバー攻撃による大停電という事態は実際に起きてしまった。これからも同様の事件は必ず起きるだろう。日本も電力が自由化され、スマートメーターなどの導入も進んでいる。これがサイバー攻撃に対する「隙」とならないことを願う。
 
その5に続く




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…