ウクライナの大停電を引き起こしたマルウェア「CrashOverRide」は電力網を混乱させる潜在的危険性を持ち世界中で障害を起こす可能性がある

ウクライナで発生した停電の原因が送電システムに障害を引き起こすマルウェアにあることを、セキュリティ専門家が発見しました。このマルウェアは、特定の通信機器に依存しておらず拡張性も備えるため、世界中の電力網で混乱を引き起こす危険性が指摘されています。

Dangerous Malware Discovered that Can Take Down Electric Power Grids
http://thehackernews.com/2017/06/electric-power-grid-malware.html

2016年12月でウクライナの首都キエフ北部で約1時間15分にわたる停電が発生し、数万人の住人は真っ暗な夜を経験しました。スロバキアに本拠を構えるセキュリティ対策ソフトウェアのESETとアメリカのインフラセキュリティ対策企業Dragosが、ウクライナ停電の原因を調査した結果、「Industroyer」や「CrashOverRide」と呼ばれるマルウェアが原因で、送電グリッドに障害が発生したことが明らかになりました。

送電網などの市民生活に大きく影響を与えるインフラ設備に対するハッキング攻撃は、2009年にアメリカがイランの原子力施設を破壊する目的で開発したマルウェア「Stuxnet」に端を発していますが、Stuxnet以降ではウクライナ停電を引き起こしたCrashOverRideは最大の脅威だと、セキュリティ研究者は述べています。

CrashOverRideはStuxnetと違ってソフトウェアの脆弱性を狙った「ゼロデイ攻撃」を利用しない点が特徴的です。ソフトウェアの脆弱性を利用するのではなく、電源インフラや送電制御システムなどの重要なインフラシステムで世界的に利用されている4つの産業用通信プロトコルを悪用するのがCrashOverRideの特徴です。マルウェアは電源スイッチやブレーカーを制御するための4つのペイロードコンポーネントをまずインストールし、その後、自らがバックドアとなって遠隔のサーバーとの通信回路を確保して攻撃者からの命令を受けられる状態で待機するとのこと。

電力会社が変電所で利用するスイッチや回路遮断器の制御システムは数十年前に設計されたもので、このシステムに忍び込み、電源を勝手に切ったり障害の発生を隠蔽したりすることで、送電システムに障害を引き起こすようにCrashOverRideは設計されています。また、CrashOverRideはシステムに長く滞在して障害を引き起こせるように、攻撃が済むとすべての痕跡を隠してシステム内に潜めるような複数の機能を備えているそうです。ESETのセキュリティ研究者は、「CrashOverRideの開発者は産業用の制御システムに対するかなりの知識と深い理解を持っている」と指摘しています。

ESETやDragosのセキュリティ研究者がCrashOverRideを分析した結果、単にウクライナの停電を目的として作られたのではなく、より広い範囲で攻撃が可能なように洗練されていることが分かったとのこと。CrashOverRideには交換可能なプラグインコンポーネントが含まれているため、ターゲットの電力会社を変更したり、同時に複数の電力会社を攻撃することも可能です。ESETやDragosのセキュリティ研究者は、「CrashOverRideは特定の企業や固有のシステムに依存するものではなく、送電グリッドやネットワーク通信の設計を考慮しており、ヨーロッパや中東、アジアの一部の国では即座に再利用して攻撃をしかけられます。また、CrashOverRideは拡張性を備えており、DNP3(Distributed Network Protocol 3)プロトコルスタックを組み込んでいるため、少しの改変で北米の電力グリッドを攻撃することも可能です」と指摘しています。

Dragosのセキュリティ研究者はCrashOverRideの背後には、2015年にロシアで停電を引き起こしたハッカーグループ「Sandworm」がいると考えているとのこと。セキュリティ研究者は各国の政府当局や電力会社にマルウェアの脅威について警告をしており、マルウェアの攻撃を防ぐための助言もしているそうです。