化学会社へのサイバー攻撃

Malwareが石油化学コンプレックスに侵入する事件もあった。

中東の某石油化学コンプレックスが2017年8月に緊急シャットダウンした。

Schneider Electric製の「Triconex」安全計装システムコントローラを不正に操作するように特別に設計された「TRITON」と名付けられた新種の破壊工作ソフト（Malware) が仕込まれ ていた。

幸い、「TRITON」が「Triconex」安全計装システムのプログラムを変えようとしたときに、安全装置が異状を察知し、緊急シャットダウンをしたとみられている。

サイバー・セキュリティ製品を提供するFireEyeが調査し、TRITONが侵入していることが判明した。

「Triconex」に仕込まれたMalwareであることから「TRITON」と名付けられた。

ハッカーは他のソフトでコントロールシステムにも侵入していることが分かった。

工場全体がハッカーに占拠され、ハッカーの思うがままになるところだった。

具体的に何をしようとしたかは不明だが、専門家は設備に物理的な被害を与え、工場のシャットダウンを狙ったのではとみている。ガスを放出させれば、大爆発の恐れもある。

どういうルートでMalwareが入ったかは分かっていない。

工場のコントロールシステムを対象とするMalwareは珍しい。

過去に「Stuxnet」（後述）がある。安全装置が稼働するのを妨害し、危害を与えたが、「TRITON」はこれに似ている。

本件を調査したFireEyeは2017/12/14付でTRITONの概要を発表した。

https://www.fireeye.com/blog/jp-threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

その後、FireEyeは検証を続け、2018/10/23付で、犯行グループ（「TEMP.Veles」）をモスクワにあるロシアの国有の科学技術研究機関Central Scientific Research Institute of Chemistry and Mechanics（CNIIHM）が支援し、この攻撃に関与していたことを「強く確信」するに至ったと発表した。

単独または複数のCNIIHM従業員が、雇用主の承認なしにTEMP.VelesをCNIIHMに結びつける活動を遂行した可能性も残されているが、このシナリオは非現実的だとしている。

https://www.fireeye.com/blog/jp-threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html

仮にロシア政府が関与しているとすれば、一体どういう目的なのか、全く分からない。

2019年1月29日付で米上院諜報活動特別委員会は報告書 Worldwide Threat Assessment of the US Intelligence Community を発表した。その中に米国へのインフラへのサイバー攻撃の懸念を示している。

中国は、米国で天然ガスパイプラインのような重要なインフラを一時的に停止させるサイバー攻撃の能力を持つ。

ロシアは、2016年にウクライナでやったように、米国で送電ネットワークを止めるサイバー攻撃の能力を持つ。

IT系ネットワークからウクライナ国営電力会社の電力網の制御系システムに入り込み、「CrashOverRide」（Industroyer）と呼ばれる malwareを埋め込み、制御系システムを外部から操作して停電を引き起こした。

ーーー