Bayerはこのたび、サイバー攻撃を抑え込んだことを明らかにした。データを盗む目的と見られる。
ハッカーはWINNTIと呼ばれる破壊工作ソフト(Malware) を使用した。WINNTIは遠方からシステムに侵入し、侵入すると、どんなことでも出来るという。
専門家は、犯人は中国の「悪いパンダ(Wicked Panda)」と呼ばれるグループだと見ている。
かつてゲームサーバを攻撃し、現金化が可能なゲーム内仮想通貨を不正に取得し、オンラインゲームのソースコードを窃取した。
その後、製薬会社や電気通信会社などの企業も標的に加え攻撃対象を拡大した。
標的型サイバー攻撃を実施する悪名高い集団として知られるようになった。
グループはBayerのネットワークにWINNTIを忍び込ませた。
2018年初めにBayer側は侵入を察知し、1年にわたり、密かに監視を続け、Malwareの分析を行った。Bayerは2015年にBASFやVolkswagen、保険会社のAllianzと一緒にDCSOと呼ばれるサイバーセキュリティグループをつくっている。
本年3月末にMalwareをシステムから削除した。
データが盗まれた証拠はないとしている。しかし、何か被害が無いか、調査を続けており、政府機関も調査を開始した。
Malwareが石油化学コンプレックスに侵入する事件もあった。
中東の某石油化学コンプレックスが2017年8月に緊急シャットダウンした。
Schneider Electric製の「Triconex」安全計装システムコントローラを不正に操作するように特別に設計された「TRITON」と名付けられた新種の破壊工作ソフト(Malware) が仕込まれ ていた。
幸い、「TRITON」が「Triconex」安全計装システムのプログラムを変えようとしたときに、安全装置が異状を察知し、緊急シャットダウンをしたとみられている。
サイバー・セキュリティ製品を提供するFireEyeが調査し、TRITONが侵入していることが判明した。
「Triconex」に仕込まれたMalwareであることから「TRITON」と名付けられた。
ハッカーは他のソフトでコントロールシステムにも侵入していることが分かった。
工場全体がハッカーに占拠され、ハッカーの思うがままになるところだった。
具体的に何をしようとしたかは不明だが、専門家は設備に物理的な被害を与え、工場のシャットダウンを狙ったのではとみている。ガスを放出させれば、大爆発の恐れもある。
どういうルートでMalwareが入ったかは分かっていない。
工場のコントロールシステムを対象とするMalwareは珍しい。
過去に「Stuxnet」(後述)がある。安全装置が稼働するのを妨害し、危害を与えたが、「TRITON」はこれに似ている。
本件を調査したFireEyeは2017/12/14付でTRITONの概要を発表した。
その後、FireEyeは検証を続け、2018/10/23付で、犯行グループ(「TEMP.Veles」)をモスクワにあるロシアの国有の科学技術研究機関Central Scientific Research Institute of Chemistry and Mechanics(CNIIHM)が支援し、この攻撃に関与していたことを「強く確信」するに至ったと発表した。
単独または複数のCNIIHM従業員が、雇用主の承認なしにTEMP.VelesをCNIIHMに結びつける活動を遂行した可能性も残されているが、このシナリオは非現実的だとしている。
仮にロシア政府が関与しているとすれば、一体どういう目的なのか、全く分からない。
2019年1月29日付で米上院諜報活動特別委員会は報告書 Worldwide Threat Assessment of the US Intelligence Community を発表した。その中に米国へのインフラへのサイバー攻撃の懸念を示している。
中国は、米国で天然ガスパイプラインのような重要なインフラを一時的に停止させるサイバー攻撃の能力を持つ。
ロシアは、2016年にウクライナでやったように、米国で送電ネットワークを止めるサイバー攻撃の能力を持つ。
IT系ネットワークからウクライナ国営電力会社の電力網の制御系システムに入り込み、「CrashOverRide」(Industroyer)と呼ばれる malwareを埋め込み、制御系システムを外部から操作して停電を引き起こした。
ーーー
「Stuxnet」は米国とイスラエルの両政府が開発した。
イランの国家政策である核開発を妨害し遅延させる目的で使用され、実際に、2009年から2010年にかけて、イランのナタンズ核燃料施設でウラン濃縮用遠心分離機を破壊する、という物理的実害を引き起こした。
遠心分離機の回転速度に関わる制御システムに特定のコマンドを出し 、約8,400台の遠心分離機の全てを稼働不能にした。システム管理者にはすべてが正常に稼動しているように見せかけた。
ナタンズ核施設でのウラン濃縮が停止し、イランの核開発は「2年前に後戻りした」。
「Olympic Games」というコード名で呼ばれたこの計画は、もともとはジョージ・W・ブッシュ前大統領が許可し、オバマ大統領が計画を継続した。(NY Times 情報)
インターネットに接続していない産業用制御システムにもUSBメモリーを介して感染・発症することから、産業用システムのセキュリティ管理のあり方を根本から考え直させた。
コメントする