CISAなど米政府機関、産業制御システム狙うマルウェアについて注意喚起

今回は「CISAなど米政府機関、産業制御システム狙うマルウェアについて注意喚起」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米サイバーセキュリティ・インフラセキュリティ庁（CISA）によると、ハッカーらが複数の産業制御システム（ICS/SCADA）機器を乗っ取るカスタムツールを開発している。

　米エネルギー省（DoE）、CISA、米国家安全保障局（NSA）、米連邦捜査局（FBI）が米国時間4月13日、共同サイバーセキュリティアドバイザリーをリリースし、注意を促した。すべての重要インフラ運用者に対し、ICS/SCADAの機器やネットワークのセキュリティを速やかに強化するよう勧告している。

　カスタムツールの標的としてSchneider Electricのプログラマブルロジックコントローラー（PLC）、オムロンの「Sysmac NEX」PLC、Open Platform Communications Unified Architecture（OPC UA）サーバーが挙げられている。

　CISAは、これらのツールによって標的とした機器への「高度に自動化された不正侵入」が可能になるとしている。

　ICSのセキュリティを手がけるDragosは、こうしたツールについて詳細に調査し、ICSを標的とする「Stuxnet」「Havex」「BlackEnergy」「CrashOverride」「Trisis」に続いて知られるマルウェアとして「PIPEDREAM」と命名している。Dragosは、PIPEDREAMが持続的標的型（APT）攻撃のアクターCHERNOVITEの手によるものだとしている。

　Dragosは、「PIPEDREAMはモジュラー型のICS攻撃フレームワークであり、これを利用することで、標的や環境に応じて混乱や性能低下、さらには破壊すら引き起こす可能性がある」と説明している。

　Mandiantはこのマルウェアを「INCONTROLLER」と呼んでいる。同社は2022年の初めにSchneider Electricとともにこのマルウェアを分析している。

　このAPT攻撃を実行するグループは、インターネットから隔離されているべき標的のOTネットワークで足場を確保し、ICS機器を混乱に陥れることができる。また攻撃者は、ASRockのマザーボードドライバーに存在している既知の脆弱性を悪用し、エンジニアが使用している「Windows」ワークステーションに攻撃を仕掛けることもできるとCISAは説明している。

　ASRockに存在するこの脆弱性（CVE-2020-15368）は「AsrDrv103.sys」に影響を及ぼす。これを悪用することで、マルウェア対策テクノロジーの監視が及んでいないWindowsカーネル内で悪意のあるコードを実行できる恐れがある。

　特にエネルギー分野の組織は、このアラートで詳細が説明されている検出策と緩和策を実行する必要があると説明されている。

　またCISAは、「APT攻撃のアクターは、ICS/SCADA機器に対する攻撃を実行し、システムに対する完全なアクセスを維持することで、特権昇格やOT環境内での水平移動が可能になり、重要な機器や機能を混乱に陥れる恐れがある」と指摘している。

　APTグループの標的となっていることが判明したデバイスは以下の通り。