エネルギー業界の脅威情報

エネルギー業界を狙うセキュリティ脅威

エネルギー業界の組織を狙うセキュリティ脅威は以下のとおりです。
  • APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)1グループは、その活動の資金源となっている政府による、国家および経済の安全保障の確保に役立つ情報を窃取しようと試みます。狙われるのは、主に天然資源の探査やエネルギー関連の取引に関する情報と予想されます。エネルギー業界の競合相手との間で衝突が発生した場合には、破壊的な攻撃を仕掛ける可能性もあります。
  • ハクティビストは、自らの主義主張に合わせて、問題があると見なしたエネルギー企業を攻撃する場合があります。標的の企業に対してDDoS(分散サービス妨害)攻撃、Webサイトの改ざん、または個人情報の窃取、流出を仕掛けて、企業評価の毀損や問題のクローズアップを狙います。
エネルギー業界を狙うセキュリティ脅威
今後の脅威動向とその影響

国家および経済の安全保障の重要性などを考慮すれば、エネルギー業界が今後も攻撃者の標的とされる可能性は極めて高いと考えられます。FireEyeでは、次のような要因が業界を狙う攻撃の引き金となると予測しています。

  • 石油価格の急落傾向に伴う産出国の収益低下は、石油・ガスの採掘技術を狙うAPT攻撃グループの活動を変化させる可能性があります。
  • 化石燃料の開発や代替エネルギーの生産における継続的な技術革新は、サイバー・スパイ活動増加の誘因となると考えられます。APT攻撃グループは、国有企業にとって有益な知的財産や専有データを入手しようと試みます。
  • 世界的なエネルギーの需要増加と天然資源の減少も、サイバー・スパイ活動の増加につながると見られます。国家が、エネルギー安全保障において対立関係にある相手に対する優位性確保につながる情報を求めるためです。
  • ロシアに拠点を置くと思われる攻撃グループが、ICS(産業制御システム)やSCADA(Supervisory Control And Data Acquisition)システムに対する偵察活動を実施していた事実が確認されています。
  • 国家間の対立も攻撃増加の一因となります。国家の支援を受けた攻撃者は、対立関係にある相手のエネルギー供給を中断させて圧力をかけようと試みる可能性があります。
  • さらに、環境問題をはじめとするエネルギー生産関連の問題が挙げられます。このような問題への注意を喚起し、責任があると思われる組織の評価を毀損しようと試みるハクティビストによる攻撃の増加が見込まれます。
FireEyeは、少なくとも16の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • 代替エネルギー開発
  • 採炭
  • 原子力開発
  • 天然ガスの流通およびマーケティング
  • 石油・ガスの探査および生産
  • 油田・ガス田設備製造
  • 石油精製
エネルギー企業から窃取されたデータ
  • エネルギー企業から窃取されたデータ
  • ビジネス・プロセス情報
  • 契約交渉情報
  • 経営幹部のやり取り
  • 市場分析
  • 専有技術

事例:石油精製会社を標的とするAPT攻撃

FireEyeは以前、ある石油精製会社での疑わしいネットワーク侵害への対応に携わりました。調査の課程で、攻撃者が同社のWebサイトに対し脆弱性スキャンとSQLインジェクション攻撃を実行し、ネットワークに不正アクセスしていた事実が明らかになりました。ネットワーク内部への侵入を果たした攻撃者は、少なくとも50のシステムを侵害し、化石燃料の探査とその後の生産を担当する事業部門から4GB以上のデータを窃取したのです。


エネルギー業界を狙うセキュリティ脅威

主要なマルウェア

FireEyeが実施したエネルギー業界のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは以下のとおりです。

SOGU (別名Kaba、PlugX)ファイルのアップロードとダウンロード、任意のプロセスの実行、ファイル・システムとレジストリへのアクセス、サービス設定へのアクセス、リモート・シェルへのアクセス、VNC/RDPと類似するカスタムのプロトコルの実装によるC&C(指令)サーバーのデスクトップへのグラフィカルなアクセスを可能とするバックドアです。
ADDTEMP (別名Desert Falcon、Arid Viper)主にスピア・フィッシングで拡散するマルウェアです。画面のキャプチャ、キー入力内容の記録、ファイルのアップロードとダウンロード、システム・レジストリに格納されたパスワードの窃取、内蔵ハードディスクまたは接続済みUSBデバイスに保存されたすべての.docおよび.xlsファイル内の検索などの機能を備えています。
WITCHCOVEN サイト訪問者のオペレーティング・システムやブラウザ、アプリケーションに関する情報の把握を目的としてプロファイリングを行うスクリプトです。FireEyeでは、このようなスクリプトを利用して、APT攻撃グループがフットプリンティング(訪問者のコンピュータ・システムや所属組織のプロファイリングの際に行われる情報収集)を実行すると見ています。
GH0STRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
SpyNet 一般に入手可能なRATです。攻撃者はこのRATを使用して、リモート・シェル経由での感染システムの操作、ファイルのアップロードとダウンロード、レジストリの操作、プロセスとサービスの起動および停止、デスクトップのイメージのキャプチャ、Webカメラの映像や音声入力した内容の記録、保存されているパスワードの抽出が可能になるほか、感染システムをプロキシ・サーバーとして利用することもできます。キー入力内容の記録機能に加え、デバッグ/仮想マシンに対する防御メカニズムも備えています。

主要なクライムウェア

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、エネルギー業界で最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

Jenxcus (別名njw0rm、njworm)広く使用されているツールnjRAT(別名Backdoor.LV)の進化形で、リムーバブル・ドライブ経由での拡散や認証情報の窃取などの機能を備えています。多くの場合、Eメール内の不正なリンクや侵害サイトからのドライブバイ・ダウンロードを介して拡散します。
HOUDINI (別名H-Worm)HTTPを使用して、オペレーティング・システムやホストおよびユーザー名など、感染システムに関する情報をやり取りするVBSベースのRATです。カスタムのBase64エンコードを含む複数の難読化技術を使用して、パックされているVBSファイルもあります。コマンド・ラインの実行、プログラムのダウンロードと実行、データの窃取などのいくつかのコマンドをサポートしています。
JpiProx 自身をブラウザ・アドオンとしてインストールするトロイの木馬です。ユーザーがアクセスしたWebサイトに広告を挿入するほか、別のマルウェアを追加インストールする場合があります。ブラウザ・プラグインに偽装されたJpiProxは、感染ホストのユーザーがアクセスするすべてのWebページに広告を挿入するという詐欺行為によって広告収入を得ます。また、別のマルウェアや好ましくないプログラム、たとえば、感染ホストを経由することで不正なトラフィックの発信元を隠蔽するWebプロキシ・ソフトウェアをインストールする場合もあります。さらに、感染先のシステム情報や、ユーザーがアクセスしたWebサイトの履歴情報などを外部に送信する場合があります。
ZeroAccess (別名Sirefef)高度なルートキット機能を備えたトロイの木馬です。当初は他のタイプの不正なソフトウェアの配布を目的として開発されましたが、クリック詐欺を実行するように再設計されています。
Upatre 主にスパム・メールやドライブバイ・ダウンロード、エクスプロイトを経由してシステムに到達するトロイの木馬型のダウンローダで、感染システム上に1種類以上のマルウェアを追加ダウンロードします。ZbotやDyre、Rovnix、CryptoLocker、Necursなど、Upatreによるさまざまな種類のマルウェアの拡散が確認されています。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。