エネルギー産業用システムを標的にした新たなマルウェア「Pipedream」が発見されたとアメリカ政府が警告

アメリカの国土安全保障省(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、エネルギー省(DOE)が共同で発表したサイバーセキュリティアドバイザリーで、液化天然ガス(LNG)の生産施設などで使われる産業用システムを乗っ取るためのマルウェア「Pipedream」が発見されたと警告しています。

APT Cyber Tools Targeting ICS/SCADA Devices | CISA
https://www.cisa.gov/uscert/ncas/alerts/aa22-103a

CHERNOVITE’s Pipedream Malware Targeting Industrial Control Systems (ICS) | Dragos
https://www.dragos.com/blog/industry-news/chernovite-Pipedream-malware-targeting-industrial-control-systems/

US warns of govt hackers targeting industrial control systems
https://www.bleepingcomputer.com/news/security/us-warns-of-govt-hackers-targeting-industrial-control-systems/

このPipedreamは、モジュール式のアーキテクチャを持ち、攻撃者は標的となるデバイスに対して高度に自動化されたエクスプロイトを実行できるとのこと。標的となっているのはエネルギー関連の産業施設で使われている制御システムで、特にLNGの生産施設が最大の標的であると予想されています。

Pipedreamの問題は、システムの修正可能なバグを利用するのではなく、「やむを得ず暗号化しないまま、デバイス間でデータをやりとりする仕様」を突いているという点。特に、フランスのシュナイダー・エレクトリックや日本のオムロンのシステムコントローラーを破壊する方法や、「OPC Unified Architecture」と呼ばれるセンサーからアプリケーションにデータを移すためのオープンソースのフレームワークが、Pipedreamのプログラムに含まれていたとのこと。

CISA・NSA・FBI・DOEはエネルギー関連施設に対して、システムの監視プログラムを導入し、リモートからのログインに多要素認証を義務付けるなどの措置をとるように警告しています。

今回発見されたPipedreamはまだ出回る前に発見されたそうですが、誰がどのように発見されたかについては明らかにされていません。また、当局はPipedreamを開発した国についても言及していません。

セキュリティ企業のMandiant社は、これまでの攻撃事例から、Pipedreamの背後にはおそらくロシア政府が存在し、攻撃を受ける危険性が直近で最も高いのはウクライナやNATO諸国であると述べています。Mandiantのインテリジェンス分析ディレクターであるネイサン・ブルベイカー氏は「マルウェアの持ち主を断定することはできませんが、この活動はロシアの歴史的関心と一致していることは留意すべきです」とコメントしました。