経済的利益を目的とした従来のサイバー攻撃とは異なり、従業員や地域住民の生命を危険にさらす国家ぐるみのサイバー攻撃のリスクが高まっている。

2017年に中東の石油化学プラントを操業停止に追い込んだ「トリトン」は多くの関係者に衝撃を与えた。専門家らは産業用モノのインターネット(IIoT)時代の到来でさらなる被害が増えることを懸念している。
最後の砦
オーストラリア人のセキュリティ・コンサルタントであるジュリアン・グトマニスは、手練れのサイバー・ファースト・レスポンダー(一次対応者)として、サイバー攻撃の影響に対する企業対応の支援要請を何度も受けていた。
だが、2017年夏に要請を受けて訪れたサウジアラビアの石油化学プラントでは、悪寒が走るような事態が待っていた。
ハッカーたちは悪意あるソフトウェア、つまりマルウェアを展開し、プラントの安全計装システム(SIS)を乗っ取っていた。
この物理的な制御装置や付随する関連ソフトウェアは、生命を脅かす惨事に対する最後の砦だ。SISは危険な状況を検知すると作動し、遮断弁や圧力開放装置などを起動させることによって、プロセスを安全なレベルに戻したり、全体を停止したりする。
サウジアラビアのプラントはマルウェアによって、これらの安全システムを遠隔で乗っ取ることに成功していた。もし侵入者がSISを無効化したり改ざんしたりした後に、他のソフトウェアを使ってプラントの装置を機能不全にすれば、壊滅的な結果がもたらされていたかもしれない。
幸いなことに、コードに欠陥があったために最悪の事態は免れた。2017年6月にSISが起動してプラントは停止した。そして8月にさらにいくつかのシステムが作動し、再度の操業停止につながった。
最初の停止の際は、機械的な故障が原因という誤った判断が下されたが、二度目の停止でプラントの所有企業は外部に調査を依頼した。
調査によってマルウェアが発見され、それ以来、このマルウェアは標的となったSISの「トライコネックス(Triconex)」にちなんで「トリトン(Triton)」(別名「トライシス(Trisis)」)と呼ばれるようになった。トライコネックスは、フランス企業のシュナイダー・エレクトリック(Schneider Electric)が製造している。
最悪のシナリオでは、悪意あるコードによる毒性の硫化水素ガスの放出や爆発によって、施設と周辺地域での生命が危険にさらされる可能性があった。
グトマニスによると、二度目の事件後に再開された石油化学プラントにおけるマルウェアへの対処は、神経がすり減る経験だったという。「私たちは、安全システムの完全性に頼ることができないと分かっていました。考え得る限り最悪の事態でした」
このプラント攻撃において、ハッカーは恐るべき重大な地点を越えた。サイバーセキュリティの世界で、生命が危険にさらされるようなコードが意図的に設計された初の例だったのだ。
SISが使用されているのは石油化学プラントだけではない。輸送システムから水処理施設、原子力発電所にいたるまで、あらゆる場所で最後の砦となっている。
トリトンの発見は、ハッカーらがこれらの重要システムにどのように侵入できたのかという疑問を生んだ。
さらにまた、産業施設のあらゆる種類の装置にインターネット接続が埋め込まれる(いわゆる「産業用モノのインターネット=IIoT」現象)時代もやってきている。IIoTのおかげで、労働者は装置の遠隔監視や素早いデータ収集によって操業の効率を上げられる一方、ハッカーに潜在的な標的を与えることにもなる。
トリトンの背後にいるハッカーたちはいま、新たな犠牲者を探している。
グトマニスの現在の職場でもある産業サイバーセキュリティを専門とする企業「ドラゴス(Dragos)」は、ここ1年ほどで、トリトンを作成してサウジアラビアのプラントに埋め込んだハッキング集団が、これまでに蓄積された同様のデジタル技術を使って北米など中東以外の標的を探している証拠を発見したと発表した。
そして、さらに広範囲のSISを危険にさらす新種のコードを生み出しているという。
非常警報
トリトンの存在を知らせるニュースは2017年12月に明らかとなったが、プラント所有者の身元は伏せられたままだ(最初の調査に参加したグトマニスを含む専門家は所有者を明かすことで、これから標的となる企業がサイバー攻撃に関する情報をセキュリティ研究者と共に秘匿する可能性を恐れ、企業名を明かしていない)。
サイバーセキュリティ会社は数年にわたり、トリトンを詳細に調べ、その背後に誰がいるのかを明らかにしようとしている。
そしてその調査から、断固とした意志を持った忍耐強いハッキング集団によって高度なサイバー兵器が構築・展開されるという、懸念すべき構図が明らかになっている。ハッキング集団の正体はいまだはっきりしない。
ハッカー集団は2014年以降、この石油化学企業のITネットワーク内部に侵入していたようだ。ハッカー集団はそこから、最終的にプラント自体のネットワークに侵入する方法を見つけた。不正アクセスを止めるはずのデジタル・ファイアウォールの設定不備によって生じた穴が侵入経路であることが多い。
その後、パッチの当たっていないウィンドウズの脆弱性を利用したり、従業員のログイン情報を傍受したりして、エンジニアリング・ワークステーションに入り込む。
ワークステーションはプラントのSISとやり取りしているため、ハッカーはシステムのハードウェア制御装置の構成やモデル(型)、それにファームウェアのバージョンを習得できた。
そしてまったく同じシュナイダーの装置を入手し、開発したマルウェアのテストに使用した可能性が高い。それにより、エンジニアリング・ワークステーションが安全システムとやり取りする際に使うプロトコルの模倣が可能となる。
ハッカー集団はさらに、未知のバグである「ゼロデイ脆弱性」もトライコネックスのファームウェアから見つけた。それにより、不正なコードを安全システムのメモリに密かに入れ込み、いつでも望むときに制御装置にアクセスできるようになる。
このようにして、侵入者はSISが機能を無効化し、他のマルウェアを利用してプラントで危険な状況を引き起こすように命令できる状態にしたのだ。
その結果は恐ろしいものになったかもしれない。これまでの史上最悪の産業災害にも毒ガスの放出が関わっていた。
1984年12月、インドのボパールにあったユニオン・カーバイド(Union Carbide)の農薬工場で大量の有毒ガスが放出され、数千人が死亡し、多数の重症者を出した。この事故はメンテナンス不良と人的ミスが原因だった。だが安全システムが故障し動作しなかったことは、最後の防衛に失敗したことを意味している。
注目すべきサイバー・フィジカル攻撃

2010年 スタックスネット(Stuxnet)
スタックスネット(Stuxnet)はイスラエルの情報機関との協力で米国家安全保障局(NSA)が開発。このマルウェアは、人の介入なしにコンピューターからコンピューターへと自己複製するコンピューター・ワームもしくはコードである。USBメモリを経由して持ち込まれることが多く、自動化プロセスを統御するプログラマブル論理制御装置を標的とした。イラン施設のウラン濃縮で使用されていた遠心分離機を破壊。

2013年 ハベックス(Havex)
ハベックス(Havex)は、おそらくハッカーが攻撃方法を考えられるように、産業装置を制御しているシステムを探るように設計されていた、リモート・アクセス型のトロイの木馬(RAT:ハッカーがコンピューターを遠隔制御できるソフトウェアを指すサイバー用語)。欧米やカナダの数千の企業を標的とし、特にエネルギー・石油化学産業が狙われた。

2015年 ブラックエナジー(BlackEnergy)
ブラックエナジー(BlackEnergy)は、ハベックスとは異なるトロイの木馬。地下の犯罪世界でしばらく出回っていたが、2015年12月にロシア人ハッカーがブラックエナジーを利用してウクライナのいくつかの電力会社に攻撃を仕掛け、停電を引き起こす原因となった。電力会社のシステムに関する情報を集め、従業員のログイン情報を盗むのに、このマルウェアが使用された。

2016年 クラッシュオーバーライド(CrashOverride)
クラッシュオーバーライド(CrashOverride)は「インダストロイヤー(Industroyer)」としても知られる。ロシア人サイバー兵士が開発したもので、2016年12月にウクライナの電力網の一部を攻撃する際に使用された。このマルウェアは、電力網のさまざまな要素が相互にやり取りする際に使用するコミュニケーション言語であるプロトコルを複製した。それにより、遮断器が実際には開いているのに閉じていると見せかけたりすることができる。コードはキエフの送電用変電所に対する攻撃に使用され、町を部分的に短時間停電させた。
さらなる警報
これまで、ハッカーがサイバー空間を使って物理的に世界を崩壊させようとした例は数えるほどしかない。その1つが、2010年にイランの原子力発電所の数百台の遠心分離機を制御不能に陥らせ、自滅に追い込んだ「スタックスネット(Stuxnet)」である。
2016年にはロシア人ハッカーが、「クラッシュオーバーライド(CrashOverride)」を使ってウクライナの電力網を攻撃した(この2つの例を含む、注目に値するサイバー・フィジカル攻撃を補足としてまとめた)。
しかし、もっとも悲観的なサイバー空間のカサンドラー(凶事の預言者)でさえ、トリトンのようなマルウェアの到来は予測していなかった。
「安全システムを標的とすることは道徳的にタブーであり、技術的にもかなり難しいとされていました」。かつて米海軍で情報戦闘将校を務め、現在はドラゴスで働くジョー・スローイクは語る。
この殺人コードのニュースを目にしたとき、他の専門家も衝撃を受けた。アクセンチュアの産業サイバーセキュリティ専門コンサルタントであるブラッドフォード・ヘグラットは、「スタックスネットなどのマルウェアでさえ、人を傷付けるという率直であからさまな意志は見られませんでした」という。
ロシアやイラン、北朝鮮といった国のハッカーが、石油・ガス会社や電力会社、輸送網といった現代経済を円滑に動かすために不可欠な「重要インフラ」分野の徹底的な調査を強化したタイミングでトリトンが登場したことは、ほぼ間違いなく偶然でないだろう。
米国のダン・コーツ国家情報長官は2018年の講演において、米国の重要インフラに致命的な打撃を与えるサイバー攻撃の危険性が高まっていると警告した。米国の情報機関がサイバー空間でテロリスト・グループが連絡を取り合う回数が増えていることに気づいた、2001年のワールド・トレード・センター襲撃前と状況が似ているという。
「あれからほぼ20年たちますが、警告灯がまた赤色に点滅していると言えるでしょう。いままさに、米国のデジタル・インフラは攻撃を受けているのです」
イランとサウジアラビアが敵対関係にあることから、当初トリトンはイランの仕業と広く考えられていた。しかしサイバー空間の犯人探しが簡単なことは滅多にない。トリトンの最初期の調査に参加したサイバーセキュリティ会社のファイアアイ(FireEye)は、2018年10月に発表した報告書で別の犯人を示した。それはロシアだった。
トリトンの背後にいるハッカー集団は、侵入中に使用されたコードの要素をテストし、アンチウイルス・プログラムの検出を困難にしていた。
ファイアアイの研究者はハッカーが石油化学会社のネットワークに残したファイルを発見し、その後同じネットワークから他のファイルも追跡できた。これらのファイルにはキリル文字の名前がいくつか含まれ、マルウェアと連携した操作を起動するのに使用されたIPアドレスも見つかった。
IPアドレスは、モスクワの化学・力学中央科学研究所(Central Scientific Research Institute of Chemistry and Mechanics)に登録されていた。この研究所は重要インフラと産業の安全性を専門とする部署を抱える政府組織だ。
ファイアアイはまた、この研究所の教授の関わりを示す証拠も見つけたとしているが、個人名は言及していない。にも関わらず、報告書は同研究所がトリトンを開発したという決定的な証拠をファイアアイは見つけていないとしている。
研究者たちは現在もトリトンの発生源を突き止めようとしており、背後の存在に関する見解がこれから出てくる可能性もある。
一方グトマニスは、サウジアラビアのプラントでの自身の経験から、企業が重要な教訓を得られるように熱心に支援している。2019年1月に開催された産業安全性に関する会議「S4X19」の発表で、グトマニスはいくつかの教訓の要点を説明した。
教訓には、トリトン攻撃の犠牲者がマルウェアが発した複数回のアンチウイルス警告を無視し、ネットワークで異常なトラフィックを見落としたという事実が含まれている。さらにプラントの従業員は、トライコネックス・システムの設定を制御する物理キーを、装置のソフトウェアで遠隔アクセスできるような場所に置いていた。
こうした話を聞いて、このサウジアラビア企業のセキュリティ体制がまったくの無能だったという印象を持ったかもしれない。だが、グトマニスはそれを否定する。「この化学石油会社の足元にも及ばないプラントを私は米国でたくさん見かけました」とグトマニスは説明する。
トリトンは、政府系ハッカーがいまや産業施設で比較的目立たず、ハッキングが難しい標的までも狙っていることを示している、と他の専門家は指摘する。
SISはさまざまなプロセスに対する防御に高度に調整されているため、システムを支配するマルウェアを生み出すには膨大な時間や苦労が伴う。たとえば、シュナイダーのトライコネックス・コントローラーには多数のモデルがあり、モデルごとに異なるバージョンのファームウェアを搭載している。
ハッカーがトライトンのようなものまで開発するという事実は、シュナイダーだけでなく、米国のエマソン(Emerson)や日本の横河電機などのSISメーカーに警鐘を鳴らした。
シュナイダーは、ハッカーがサウジアラビアのプラントで自社のトライコネックス・モデルを標的にした経緯の詳細を公表したことで称賛された。詳細の中では特にゼロデイ脆弱性が取り上げられているが、事件以降はパッチが当てられている。
しかしグトマニスはS4X19でのプレゼンテーションで、同社が攻撃直後に調査官と十分な意思疎通を図らなかったとして非難した。
これに対しシュナイダーは、標的となったプラント企業や、米国土安全保障省(DHS)、調査に参加した他の機関に十分協力していると回答している。事件以降、シュナイダーは人員を増強して将来の事案対応に役立てるとし、自社デバイスに使われているファームウェアやプロトコルの安全性も高めているとしている。
ハッカーの標的になりそうもないが、侵入された場合に災害を引き起こす可能性のある領域に製造企業や装置メーカーがさらに力を入れる必要がある──。シュナイダー幹部のアンドリュー・クリングは、トリトンの発見から得られた重大な教訓をこう指摘する。
めったに使用されないソフトウェア・アプリケーションや、機械同士のやり取りを制御する古いプロトコルなどがこれに含まれる。
「文書化すらされていない目立たないプロトコルをわざわざ狙う者などいないと思うかもしれません」とクリングは話す。「しかし『もし侵入されたらどのような事態がもたらされるのか?』と問いかける必要があるのです」
トリトンの時系列

2014年 ハッカーがサウジアラビアのプラントのネットワーク・アクセスを確保。
2017年6月 最初のプラント停止。
2017年8月 二度目のプラント停止。
2017年12月 サイバー攻撃の公表。
2018年10月 ファイアアイ「トリトンはロシアのラボで作成された可能性が高い」。
2019年1月 トリトンへの対応について、さらなる詳細が明らかに
アナログの未来
ここ10年ほど、企業はあらゆる種類の産業装置にインターネット接続やセンサーを取り付けている。
そこから得られたデータは、予知保全(機械学習モデルを使って装置のメンテナンスが必要なタイミングの予測を向上させる)から生産プロセスの微調整まで、あらゆる面で活用されている。また、スマートフォンやタブレットによって遠隔制御をするという大きな風潮もある。
いずれも、企業の効率や生産性の大幅な向上に役立つものだ。市場動向を調査するアーク・グループ(ARC Group)は2019年、スマート・センサーや自動化制御システムなどの産業用インターネット機器への企業の投資額を約420億ドルと予測している。
だがリスクもまた明白だ。インターネットに接続された装置が増えるほど、ハッカーが狙うべき標的も増えるのだ。
攻撃者を締め出すために製造企業は多くの場合、「多層防御(Defense In Depth)」として知られる戦略に頼る。
多層防御とは、企業ネットワークをインターネットから切り離すためのファイアウォールを始めとして、複数のセキュリティ層をつくり出すことを意味する。(ファイアウォール以外の)他の層は、侵入を試みるハッカーがプラントのネットワークにアクセスし、さらに産業制御システムへアクセスすることを防ぐことを意図している。
これらの防御体制の要素としては、マルウェアを検出するためのアンチウイルス・ツールがあり、さらにITシステム内部の異常挙動を見つけるための人工知能(AI)ソフトウェアも増えている。
そして究極の安全装置として、SISや物理的なフェイルセーフ機構がある。最重要システムには通常、どれか1つの要素でも障害があれば防御できる物理的な支援機構が複数備わっている。
このような方策の堅牢性は証明されている。しかし重要インフラを標的とする時間や資金、動機を有する国家系ハッカーの台頭や、インターネットに接続されたシステムの使用増は、将来に対する指針として過去に頼れない可能性を示している。
特にロシアはソフトウェアを兵器化し、物理的な標的に対して展開する意思を示しており、ウクライナを自国の一連のサイバー兵器の試験場としている。サウジアラビアでのトリトンの展開は、断固とした意志を持ったハッカー集団が、これらすべての防御層に穴を開ける方法を見出すために、何年も積極的に調査していることを示している。
幸運なことにサウジアラビアのプラントへの攻撃は阻止され、その仕組みについていまでは多くのことが分かっている。だが、他の開発者とまったく同じようにハッカーも間違いを犯すことは厳然たる事実だ。
人為的なミスや他の間違いのせいでプラントの重要プロセスの1つに支障が起きたまさにそのタイミングで、ハッカーが意図せず送り込んでいたバグがプラントの安全な停止を促すのではなく、安全システムを停止させてしまっていたらどうだろうか? ハッカーがそのような事態を意図していなくても、壊滅的な結果となる可能性があるのだ。
米国のアイダホ国立研究所などの専門機関は、トリトンや他のサイバー物理脅威を踏まえ、すべての業務を再点検するように企業に促している。そして、ハッカーが重要プロセスに侵入するのに利用できるデジタル経路を大幅に減らしたり、なくしたりするよう推奨している。
企業は対策コストに頭を悩ませるかもしれないが、トリトンの事案はリスクが増大している状況について警告している。グトマニスは、世界でもっとも殺人的なマルウェアを使ったさらなる攻撃はほぼ不可避だと考えている。「今回は初めてのケースでしたが、もしこれが最後だったとしたら驚くでしょうね」
原文はこちら(英語)。
(執筆:マーティン ジャイルズ/米国版 サンフランシスコ支局長)
This article is provided by MIT TECHNOLOGY REVIEW Japan. Copyright © 2019, MIT TECHNOLOGY REVIEW Japan. All rights reserved.
この記事は、株式会社KADOKAWAが、米Technology Review社との許諾契約に基づき、再許諾しました。一部の見出し、写真等は株式会社ニューズピックス等の著作物である場合があります。