産業制御システム(ICS)への新たな攻撃フレームワーク「TRITON」が重要インフラの運用停止を誘発

はじめに
Mandiantはこの度、重要インフラ企業のインシデント対応において、産業システムの安全装置を不正操作するマルウェアを検知しました。攻撃者の標的となったのは、産業システムの緊急停止機能を起動するものでした。本来物理的な破壊を目的としたマルウェアを開発していたところ、何かしらの理由で運用を停止させてしまったと、ファイア・アイはある程度の確信を持って結論付けています。「TRITON」と名付けられたこのマルウェアは、安全計装システム(SIS)のTriconexコントローラを不正操作するために開発された攻撃フレームワークです。既知の攻撃グループが仕掛けたインシデントであるかどうかは現時点では不明ですが、今回の攻撃活動は準備段階であり、国家が支援しているものと考えられます。

産業制御システム(ICS)を標的としたマルウェア・ファミリーのうち、一般的に特定されたものは限られておりますが、TRITONはその一つです。ICSを狙った事例として、2010年にイランを標的として展開されたStuxnetや、2016年にウクライナを標的にSandworm Teamが使用したと推測される、Industroyerなどが挙げられます。安全装置の本来の機能を不能にし、物理的な破壊をもたらすという点で、TRITONはこれらの攻撃と似ています。

マルウェア・ファミリー

メインモジュール

説明

TRITON

trilog.exe

libraries.zipを悪用する主な実行ファイル

library.zip

Triconexコントローラの不正操作用のカスタム通信ライブラリ

表1:TRITONマルウェアの説明

インシデントの概要
攻撃者は、SISのエンジニアリング・ワークステーションへのリモートアクセスを取得し、TRITONの攻撃フレームワークを展開、そしてSISコントローラをリプログラミングしました。インシデントの過程で、一部のSISコントローラは産業プロセスを自動的にシャットダウンし、資産保有者に調査を促すフェイルセーフ状態となりました。調査の結果、冗長処理ユニット間のアプリケーション・コードが検証に失敗した際、SISコントローラはセーフ・シャットダウンを開始し、その結果、MPの障害メッセージが表示されたことが判明しました。

物理的な破壊をもたらす機能の開発中に、攻撃者が何かしらの理由で運用を停止させてしまった点については、以下の理由により、ある程度の確信を持っています。

  • ŸSISの変更によって正常な機能が損なわれ、物理的ダメージをもたらすであろう、障害の可能性が高まったこと。
  • ŸTRITONは、SISコントローラ上のアプリケーション・メモリの修正に使用されており、これによって、検証チェックが失敗したこと。
  • TRITONが使用された期間に障害が発生したこと。
  • Ÿ既存または外部の状況だけが、インシデント時の障害を招いたとは考えにくいこと。

攻撃者の属性(アトリビューション)について
今回の攻撃ついて、ファイア・アイが追跡中の攻撃グループとのつながりは現時点で確認されていませんが、国家が支援している点については、ある程度の確信があります。重要インフラが標的であることに加えて、攻撃者の執着性、明確な金銭目標の欠如、攻撃フレームワークの作成に高度な技術が必要とされることから、十分な資源を持つ国家が背景にいる攻撃者であると考えられます。具体的には、こうした見解の裏付けとして、以下の事実が挙げられます。

攻撃者がSISを標的としたことから、物理的ダメージを伴い、深刻な影響を及ぼす攻撃を起こすことへの関心が示唆されます。これは、一般のサイバー犯罪グループではあまり見られない攻撃目的です。

SISシステムへのアクセスを取得後、直ちにTRITONが展開されていたため、攻撃者は一般的に普及していないハードウェアやソフトウェアを用いて、ツールを事前開発・テストしていたことがうかがえます。TRITONの設計は、公の文書に存在しない、独自プロトコルのTriStationを使用した通信にも対応しており、プロトコルのリバースエンジニアリングを行なったことが示唆されます。

システムを混乱、機能低下、または破壊させるための重要インフラの標的活動は、ロシア、イラン、北朝鮮、米国、イスラエルで国家から支援を受けているグループが世界中で実施している、多数の攻撃や偵察活動と合致しています。この種の攻撃は、標的のシステムを直ちに混乱させる意図が必ずしもあるわけではなく、有事の備えである可能性もあります。

プロセス制御システムと安全計装システムの解説


図1:ICSのリファレンス・アーキテクチャ

現代の産業プロセス制御システムや産業オートメーションシステムは、高度な制御システムや安全機能が数多く利用されています。こうしたシステムや機能は一般的に、産業制御システム(ICS)や運用技術(OT)と呼ばれています。

一方、分散型制御システム(DCS)を使用すると、操作する人は産業プロセスを遠隔から監視・制御できます。これは、コンピュータ、ソフトウェア、そしてコントローラで構成される、コンピュータ制御システムです。エンジニアリング・ワークステーションは、制御システムのアプリケーションやその他の制御システム機器の構成、保守、診断に使用されるコンピュータです。

安全計装システム(SIS)は、制御中のプロセスの状態を独自に監視する、自律制御システムです。危険状態を定義する基準をプロセスが上回った場合、SISは、プロセスを安全な状態に戻そうと試みるか、プロセスのセーフシャットダウンを自動実行します。SISやDCSが制御不能に陥った場合、産業施設の設計が最後の砦となります。具体的には、機器の機械的保護(例:ラプチャーディスク)、警告、緊急事態対応手順など、危険な状況を軽減するメカニズムが適用されます。

資産保有者は、工場のDCSとSISを連動させるため、さまざまなアプローチを行います。従来は、通信インフラと制御戦略の両方を、原則として隔離させるアプローチを採用していました。少なくともこの10年間の傾向として、コスト低減、使いやすさ、DCSとSISの情報交換によるメリットなど、さまざまな理由により、DCSとSISの設計は統合化が進んでいます。DCSとSISのネットワーク・ホスト間の双方向通信を可能にする統合設計のリスクが、TRITONによって明らかにされたとファイア・アイでは考えています。

安全計装システム脅威モデルと攻撃シナリオ

図2:サイバーセキュリティと安全性の時間的関係

ICSを標的とした破壊的攻撃の手順は、他の種類のサイバー攻撃と類似する点もあれば、明らかな違いもいくつか見られます。この違いのうちの一つが攻撃者の目的で、それはデータの窃取ではなく、運用プロセスの混乱を狙っています。また、攻撃者は制御されている産業プロセスへの理解が深く、OTの偵察を実施しており、さらに工学的専門知識を十分持っていたと考えられます。

図2はプロセス制御環境のサイバーセキュリティと安全制御の関係を示しています。サイバーセキュリティ対策が失敗に終わった場合でも、物理的ダメージを防ぐことができる設計になっています。攻撃者が物理的な影響を高めるには、安全制御も迂回する必要があります。

以下のSIS脅威モデルは、SISへの不正アクセスに成功した攻撃者が利用することが可能な活動の一部を示したものです。

攻撃オプションその1:SISを使用してプロセスを停止

  • Ÿ攻撃者はSISロジックのプログラムを書き換え、実際は安全な状態にあるにも関わらず、プロセスを遮断・停止できます。すなわち、誤検出を引き起こすことができます。
  • Ÿ影響:プロセスのダウンタイムと、工場の停止後の複雑な起動手順による、経済的な損失が発生します。

攻撃オプションその2:SISのリプログラミングによる、不安全状態の許可

  • Ÿ攻撃者はSISロジックをリプログラミングし、不安全状態が持続することを許可できます。
  • Ÿ影響:SIS機能の損失に伴い、危険な状態による物理的ダメージの発生リスクの上昇(例:機器、製品、周囲、人的安全に対する影響)。

攻撃オプションその3:DCSを使用して不安全・危険状態を作り上げている間、SISのリプログラミングにより、状態を許可

  • Ÿ攻撃者はプロセスをDCSから不安全状態に不正操作しつつ、SISが適切に機能しないよう妨害できます。
  • Ÿ影響:プロセスの物理的制約と工場の設計により異なりますが、人を含む周囲への影響、機器の損傷などが考えられます。

攻撃者の意図の分析
攻撃者の長期的な目標が、物理的ダメージを及ぼす機能の開発であったことに関して、ファイア・アイはある程度の確信を持っています。その根拠として、攻撃者はまず、DCS上で信頼できる足がかりを取得しており、プロセスの不正操作や工場停止の機能を開発できたにも関わらず、実際にはSISシステムへ不正アクセスしていたことが挙げられます。DCSとSISシステムの両方に不正アクセスしていれば、物理的・機械的な保護策が配備されていても、最大限の損害をもたらす攻撃が可能でした。

SISネットワークに到達すると、TriStationプロトコルを用い事前開発していたTRITONの攻撃フレームワークを使用し、SISコントローラの不正操作を実行しました。停止命令や、意図的に不備のあるコードをSISコントローラにアップロードし、障害を発生させることで、プロセスを停止させることも可能でした。しかし実際、標的となる環境でSISコントローラ向けに機能する制御ロジックを開発・提供することを目的に、攻撃者は長期間にわたる複数の試みを行っていました。攻撃スクリプトの条件チェックにより、こうした試みは失敗したようですが、攻撃者が何度も挑戦していたことから、彼らの意図はプロセスの停止以上の被害をもたらすためだったと考えられます。

ファイア・アイは長期間にわたるICSへの侵入の証拠を幾度にわたり観察していますが、これらは結局、運用の混乱や停止に使用されることはありませんでした。例えば、Sandworm Teamというロシアのグループの場合、混乱をもたらすことなく、複数年もの間、欧米のICSへの不正アクセスを行っていました。

マルウェアの機能の概要
TRITONの攻撃ツールは、プログラムの読み書き、個別機能の読み書き、SISコントローラの状態の分析など、多数の機能を備えています。しかし、こうした機能のうち、「trilog.exe」が利用されたのは、ほんの一部でした(例:攻撃者はTRITONの広範な偵察機能のすべてを悪用したわけではない)。

TRITONマルウェアには、Triconex SISコントローラとの通信機能が実装されており(例:運行停止やメモリ内容の読み込みなど、特定の命令の送信)、攻撃者の定義したペイロードにより遠隔的にリプログラミングできます。Mandiantが分析したTRITONのサンプルには、Triconexコントローラの実行表に攻撃者の提供するプログラムが追加されていました。このサンプルには正規のプログラムが残されており、障害や例外なく、コントローラに動作を継続させることを要求していました。コントローラに障害が発生した場合、TRITONは実行状態に戻すよう試みると考えられます。定められた時間内にコントローラが復旧しなかった場合、本サンプルは、履歴を隠すためにマルウェアを上書きすることができます。

推奨事項
本インシデントで示された攻撃への防衛策には、以下の制御系統をご検討ください。

  • Ÿ技術的に実行可能であれば、安全システムのネットワークと、プロセス制御や情報システムのネットワークを隔離してください。SISコントローラをプログラミング可能なエンジニアリング・ワークステーションは、他のDCSプロセス制御または情報システムのネットワークとの、二重構成にしないでください。
  • Ÿ安全コントローラのプログラミング機能の物理的な制御に対応した、ハードウェア機能を活用してください。これらは通常、鍵を使ったスイッチ操作で活用できます。Triconexコントローラの場合、予定されたプログラミング・イベント以外では、PROGRAMモードのままにしないでください。
  • Ÿ鍵の場所の変更については、変更管理手順を導入してください。鍵は定期的に検査し、最新状態を保ってください。
  • ŸSISの提供データに依存するすべてのアプリケーションには、双方向のネットワーク接続ではなく、単方向ゲートウェイを使用してください。
  • ŸTCP/IP経由でSISシステムに到達可能なサーバーやワークステーションのすべてのエンドポイントには、厳格なアクセス制限とアプリケーションのホワイトリストを導入してください。
  • Ÿ想定外の通信フローなどの特異なアクティビティについて、ICSのネットワーク・トラフィックを監視してください。




図3:Triconexのキースイッチ(ソース)

なお、TRITONに関するより詳しい技術分析については、ファイア・アイのブログ(英語)をご参照ください。

FireEye ® (ファイア・アイ)について
FireEyeはインテリジェンス主導型のセキュリティ企業です。顧客企業は、FireEyeの革新的セキュリティ技術、国家レベルの脅威インテリジェンス、世界的に著名なMandiant®コンサルティングの知見が統合された単一プラットフォームを、自社のセキュリティ対策の一部としてシームレスに組み込むことができます。このアプローチにより、FireEyeは準備、防御、インシデントレスポンスといった、組織がサイバー攻撃対策をするうえでの課題となっていた複雑性や負担を解消します。FireEyeは「Forbes Global 2000」企業の4割以上を含む、世界67か国以上の6,300を超える組織で利用されています。

FireEyeウェブサイト

報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局
(ホフマンジャパン株式会社内)
担当: 小倉 / 上田 / 藤本 / 田中
Tel: 03-5159-5750
Email: FireEye_PR@hoffman.com

FireEyeはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。