SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

ウクライナの停電を引き起こした原因:マルウェア、それとも?

この記事をシェア

2015年12月にウクライナで起こった大停電は、マルウェアによって引き起こされたと最初報じられたが、その後、一部の研究機関から否定的な見解が現れた。果たして真相はどうなのであろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。

ウクライナの停電を引き起こした原因:マルウェア、それとも?

サイバー攻撃が次第にWeb上から現実世界に目を向け始めている。2015年12月23日、ウクライナで停電が起こった。人口140万人の地域の半分の世帯が一時停電した。マルウェアを用いたサイバー攻撃の疑いがあると報じられた。

マルウェアは通称「BlackEnergy」の亜種として特定されている。BlackEnergyは2007年に出現したトロイの木馬型マルウェアで、当初はDDoS攻撃に使用された。今回使用されたのはこの亜種である。ESETではこれを「Win32/SSHBearDoor.A」として検出している。

BlackEnergyをバックドアとして利用し「KillDisk」(ESETはこれをWin32/KillDisk.NBB、Win32/KillDisk.NBC、 Win32/KillDisk.NBDとして検出)という破壊活動を行うコンポーネントを送り込むことによって、産業システムの制御を不能にするばかりか、思う通りの操作も可能となる。

しかし産業分野における制御システムのサイバーセキュリティを専門とする組織(SANS ICS)によれば、この停電は組織だって周到に準備された攻撃によって引き起こされたものであるが、こうしたマルウェアのみならず、少なくとも以下の3つの要因がある、と指摘している。

1)マルウェア(BlackEnergy)とそのコンポーネント(KillDisk)の感染
2)電話システムにおけるサービス拒否による攻撃
3)直接停電を引き起こした何か(原因不明)

そして、停電の直接的な原因は、クラッカーたちが送電ステーションの制御システムに手作業で介入したことにあるとし、BlackEnergyやKillDiskはあくまでもシステムへの侵入の糸口をつくったにすぎないとSANS ICSは主張している。

ひとたびネットワークが汚染され攻撃側に制圧されると、前もって用意されていた攻撃がウクライナ各地のオペレーターを襲い、送電網オペレーターの身動きが封じられ、制御システムの回線が切断された。また並行して、オペレーターたちのいるコールセンターに対するサービス拒否攻撃によって、被害に遭った顧客の通報も、なかなかオペレーターにまで届かなかった。これがSANS ICSのまとめた事件の概要だ。

SANS ICSによれば、制御システムの停止が確かに危険な状態を生み出すことは疑いないとしても、停電という事態を引き起こさないようにするために手動による対応が行われたのだから、KillDiskのようなタイプのマルウェアだけでは直ちに停電を起こすことができない、と分析されている。

実際、復旧後の運転は、感染した制御システムを使わずに、オペレーターによる手動操作で行われた。

ここには、攻撃者たちはマルウェアによって本格的な攻撃に進むための足掛かりがつくられたものの、マルウェアはただ仕事を容易にするために利用されたにすぎない、という見解が示されている。

これが正しいのかどうか、今のところはっきりとした結論を導くことは難しい。

しかし、少なくとも現時点で言えることは、世界中の産業制御システムは危険な状態にあり、マルウェアだけでそのシステムに深刻な影響を与えることが可能だ、ということである。マルウェアを決して侮ってはならない。

マルウェアの持つ攻撃力や破壊力を決して過小評価するべきではない。そして同時に、憶測を中心にして過剰に恐怖心だけをあおるような伝え方も避けなければならない。しっかりとした裏付けのある検証を行うことがベンダー側の誠実な対応となるのは言うまでもない。

とはいえ、電力システムをはじめ、巨大な産業において作動している制御システムは、いつ誰が狙ってもおかしくない。それだけのマルウェア技術や環境がすでにあるということは疑いのない事実である。多くの人々の暮らしを支えるのが「電力」であるからこそ、世界中の関連組織はITセキュリティの抜かりのない強化が求められているのである。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!