最近のサイバーセキュリティ関連メディアは、「Fuxnet」という破壊的な新しいICSマルウェアが見つかったと伝えています。このインシデントは、ウクライナのセキュリティ機関と関係のあるハッカーグループ『Blackjack』が関わっていると言われています。そこで本記事では、ICSマルウェア「Fuxnet」はどういった攻撃手法を持つのか、また「Fuxnet」の防御方法について解説します。
はじめに
ハッカーグループ『Blackjack』は、モスクワに拠点を置き、上水道、下水処理、通信システムなどの重要インフラの管理を担当する企業であるMoscollectorに対して大規模な攻撃を行いました。攻撃者は、Stuxnetに似たFuxnetマルウェアを使用して、産業用センサーを無効化し、複数の業界にわたって業務を妨害しました。
当初、87,000個のセンサーを無効化したと攻撃者は主張していましたが、実際影響を受けたのは2,659個のセンサーゲートウェイで、そのうち約1,700個のセンサーゲートウェイが侵害されたことが後に判明しました。攻撃者は、ゲートウェイを妨害し、マルウェア内の特殊なM-Bus難読化機能を悪用することで、これらのセンサーを無効化することに成功しました。
このインシデントは、製造業および重要インフラ事業者にとって重大な懸念事項となるはずです。というのも、このマルウェアが産業用センサーと監視インフラの運用を妨害する能力を持っていることが実証されたからです。産業界の企業は、同様のシナリオが自社のICS環境で発生しないよう、警戒を強めなければなりません。
BlackjackハッカーによるMoscollectorへのFuxnetマルウェア攻撃
Clarotyの分析によると、Fuxnetは、センサー自体ではなく、RS485やMeter-Busなどのシリアル・バス・プロトコルを使用するセンサーゲートウェイを主に標的にしていました。このマルウェアはまず、重要なファイルとディレクトリを削除し、リモート・アクセス・サービスをシャットダウンして、ルーティングテーブル情報を破損させました。次に、ファイルシステムにダメージを与え、デバイスのファームウェアを再プログラミングして、NANDメモリチップに物理的な損害を与えました。さらに、Fuxnetは接続されているセンサーゲートウェイにランダムなデータを送信し、通信チャネルに過負荷を与えて、センサーを実質上無効化しました。
1.初期攻撃
攻撃の発端は、ロシア企業iRZが製造した、OpenWRTをオペレーティングシステムとして使用するRL22w 3Gルーターでした。攻撃者はこれらのデバイスのルートパスワードを入手し、SSHを使用して接続して、内部システムに入り込み、最終的にフルアクセス権を取得しました。ShodanとCensysで検索したところ、Telnetが有効になっており、インターネットに直接公開されているデバイスが111台見つかりました。
2.継続的な偵察
攻撃者は、ロシア企業AO SBKが製造したIoTゲートウェイデバイスを標的にし、主に次の2つのタイプに注目していました。
- a) MPSB:EthernetおよびCAN、RS-232、RS-485などのシリアル通信プロトコルに対応し、さまざまなインターフェースを介して外部デバイスと情報交換を行うように設計されています。
- b) TMSB:MPSBと似ていますが、インターネット経由でリモートシステムにデータを送信するための3/4Gモデムを内蔵しています。
これらのゲートウェイは、メタン、二酸化炭素、酸素、一酸化炭素の工業用空気濃度を測定する多数の物理センサーに接続されており、Meter-Bus/RS485シリアルチャネルを介して通信しています。
3.スクリプトの展開
攻撃者は、物理的な場所と説明を含む、標的とするセンサーゲートウェイIPのリストを作成し、展開しました。マルウェアは、SSHまたはポート4321上のセンサープロトコル(SBK)を介して各標的に配信されました。
4.デバイスのロックダウンとファイルシステムの破壊
攻撃者はファイルシステムを再マウントし、重要なファイルとディレクトリを削除して、リモート・アクセス・サービスをシャットダウンし、デバイス間の通信を遮断するためにルーティングテーブル情報を破損しました。
5.NANDチップの破壊
NANDメモリチップに対してビット反転操作を実行し、繰り返しメモリを書き換えることでチップを故障させて、復旧を不可能にしました。
6.UBIボリュームの破壊
UBIボリュームを上書きして使用不能にし、フラッシュメモリ管理を損傷して、ファイルシステムを不安定にさせました。
7.M-Busプロトコルによるサービス拒否
シリアルチャネルを介してランダムなデータを送信することで、M-Busプロトコルのファジングテストを実施し、通信経路に過負荷をかけて、センサーを無効化しました。
戦略的な提言
Fuxnet攻撃の複雑さと深刻さを考慮すると、セキュリティ意思決定者やCISOは、OT/ICS環境で堅牢なサイバーセキュリティ対策を実施することが極めて重要と言えます。次の質問について考えてみてください。現在のOT/ICSシステムの防御はどの程度包括的(全体的にカバーする)なものですか?Fuxnetと同等の攻撃に対するインシデント対応計画はありますか?システム内にデフォルトのパスワードを使用しているデバイスはありますか?新たな脅威に対処できるように、アクセス制御リスト(ACL)を定期的に更新していますか?これらの質問に対応した提言は次のとおりです。
1.デフォルトのパスワードが生む脆弱性を軽減する
あらゆる装置が稼働を続ける製造工場では、デフォルトのパスワードを悪用したサイバー攻撃が予期せぬ稼働停止を引き起こすと、オペレーションが著しく混乱してしまいます。デフォルトのパスワードは、デバイスのマニュアルやオンラインに記載されていることも多く、入手しやすいため、重要なシステムにアクセスするきっかけを与えてしまいます。デフォルトのパスワードを強力で独自のものに置き換えることは、特にIoTルーターやセンサーゲートウェイの場合には重要です。定期的な監査を実施してコンプライアンスを確認することで、アクセスポイントを強化し、不正侵入のリスクを大幅に低減できます。
2.アクセス制御リスト(ACL)の実装
アクセス制御リスト(ACL)は、ネットワークの特定の部分に誰が、または何がアクセスできるかを定義した、デジタルゲートキーパーとして機能します。ゲートウェイにACLを導入することで、許可されたデバイスにのみ通信を制限し、制御された環境を構築します。TXOneのEdgeIPSのようなツールは、これらのACLを自動的に学習して適用し、堅牢なセキュリティ境界を確保できます。新たな脅威やネットワークの変化に対応するためには、ACLの定期的な見直しと更新が必要です。
3.SSHログイン試行の監視
SSHログインの失敗は、攻撃者がアクセスするためにシステマチックに異なるパスワードを試行するブルートフォース攻撃を示している可能性があります。これらの試行を監視することが、潜在的な侵害を特定するのに役立ちます。TXOneのEdgeIPSなどが提供するブルートフォース検知メカニズムを実装することで、これらの試行を早期に捕捉できます。誤検知に対処できれば、本物のアラートに迅速に対応できます。
4.ファームウェアの定期的な更新
ファームウェアの更新は、OT/ICSデバイスの最適かつセキュアな機能を維持するために不可欠です。これらの更新プログラムは、既知の脆弱性にパッチを適用し、セキュリティ機能を強化します。あらゆるOT/ICSデバイスのファームウェアの定期更新スケジュールを設定し、迅速なテストと適用を行うことで、インフラストラクチャの完全性とセキュリティを維持し、新たな脅威を防御することができます。
5.インシデント対応計画の策定
インシデント対応計画では、サイバーセキュリティの脅威に効果的に対処するためにチームを整えて、インシデント発生時の対応手順を規定し、役割、通信プロトコル、復旧手順を定義します。OT/ICS環境に合わせたインシデント対応計画を策定し、定期的に更新することが重要です。計画の有効性をテストするための定期的な訓練と、訓練や実際のインシデントで学んだ教訓に基づいた継続的な改善により、備えとレジリエンスを強化します。
まとめ
Fuxnetの事件で、OT/ICS環境を保護するためには、強固なサイバーセキュリティ対策が重要であることがはっきりとわかりました。デフォルトのパスワードの脆弱性への対処、厳格なアクセス制御の実装、疑わしい活動の監視、最新のファームウェアの維持、明確に定義されたインシデント対応計画の策定などを実践することで、高度なマルウェア攻撃がもたらすリスクを大幅に軽減できます。
産業用環境の保護には、ITネットワークとは大きく異なる固有の課題があります。TXOne Networksは、OTのサイバーセキュリティに特化しており、産業用環境にある機器、環境、および日々の運用に合わせて特別に調整したソリューションを提供しています。
運用制御技術の保護については、是非TXOneのサイバーセキュリティスペシャリストにお問い合わせください。
参考文献
- [1] Eduard Kovacs、『ウクライナがロシアのインフラに対して用いた破壊的なICSマルウェアFuxnet(Destructive ICS Malware Fuxnet Used by Ukraine Against Russian Infrastructure)』、SecurityWeek、2024年4月15日。
- [2] Claroty Team82、『BlackjackグループのFuxnetマルウェアを紐解く(Unpacking the Blackjack Group’s Fuxnet Malware)』、Claroty、2024年4月12日。
- [3] Jai Vijayan、『ロシアとウクライナの企業を狙う危険な新型ICSマルウェア(Dangerous New ICS Malware Targets Orgs in Russia and Ukraine)』、Dark Reading、2024年4月18日。
- [4] ForeSight Team、『BlackjackグループのFuxnetマルウェアを紐解く:ステルス性の高いサイバー脅威(Unveiling the Blackjack Group’s Fuxnet Malware: A Stealthy Cyber Threat)』、ForeSight、2024年4月17日。
