ウクライナにおける電力網への攻撃メカニズム
〔1〕攻撃者たちは半年間システムに潜伏していた
―編集部:ウクライナでの電力網への攻撃は衝撃が走りましたが、その攻撃のメカニズムについて教えてください。
Justin:2015年夏、攻撃者たちは、まず電力部門や社員の何人かに、「Black Energy3」という名前のマルウェアが添付されたフィッシングEメールを配信しました。送りつけられた誰かが、このEメールを開くと、バックドアが設置され、そこから攻撃者が侵入してくるしかけです。電力会社側では的確なパッチ管理を行っておらず、また当てられてもいませんでした。これで攻撃者たちは、ネットワークの一部に牙城をつくることができたのです。
次の段階では認証情報を設定するために、ID やパスワードなどを搾取します。そのために、例えばキーストロークのログを見て、あるいは他の脆弱性を衝いて、アクティブディレクトリに関するクレデンシャル情報注9を収集し、新しい認証情報を設定できるまでになりました。
―編集部:その後どうなりましたか。
Justin:攻撃者たちは、この段階で、電力会社のエンジニアのようにプログラムを使うことができ、コミュニケーションができる立場になっています。彼らは自分たちのトラフィック痕跡を、電力会社のエンジニアたちと同等にしたかったのです。ここから先は攻撃者の自由自在です。
次の段階ではネットワークを判別し、静かにネットワークをスキャンして、各種システムの洗い出しを行いました。まずは制御ネットワークの場所を突き止め、HMIも確認しプロセスの洗い出しやその配下のコントローラも判別しました。またネットワーク機器類までも、Serial to Ethernetのコンバータまでも判別しました。そしてUPS注10バッテリーのバックアップシステムでさえ特定してしまったのです。この期間、6カ月でした。すなわち攻撃者たちは半年間、このシステムに潜伏していたことになります。
〔2〕なぜ攻撃が判明したのか
―編集部:それでも結局のところ、攻撃の事実は判明したのですね。
Justin:それは、攻撃者たちがネットワークを遮断してしまったからです。
仮に、攻撃者たちが長く居座り続けることを選択していたら、いまでも発見できなかったかもしれません。攻撃者たちは、2015年12月にウクライナの電力系統を遮断してしまう決断をし、そのために、まずリモートアクセスでログインし、さらにHMIにアクセスしました。そこからウクライナの変電所をすべて停止させてしまいました。バックアップ用バッテリーシステムを遮断させたり、シリアルデバイスの多くをダウンさせたりしたのも、この事例の特徴です。
エンジニアたちは、各拠点に行って、手作業で復旧を試みるしかありませんでした。幸い、ウクライナ電力網の技術はその多くが非常に古く、マニュアル制御が可能なため復旧させることができたのです。これが、北米や日本、欧州など最新技術を導入した国々では、マニュアル制御はほぼできません。逆に、ウクライナと同様な攻撃がこれらの国々で発生したら、復旧は苦労したことでしょう。
〔3〕ウクライナの電力網への攻撃は三度あった
Justin:ウクライナの電力網への攻撃は一度目が2015年12月、二度目が2016年12月で、実は、三度目は2017年春に発生しました。
この背景には、二度目のマルウェアが“なり”をひそめており、時間が経って暴れ始めたのか、それとも新たに侵入してきたものかは定かではありません。しかし、二度目から2017年春までの間、ちょっとした攻撃は続いていました。ただ二度目以降は、ウクライナが自国で対処したいという意向でしたので、情報があまり開示されなかったのです。
コントローラ向けIEC104(現IEC 60870-5-104)プロトコルに対応できるマルウェアであったことはわかっていますし、コード自身が拡張可能な設定であったこと、HMIに対してシグナル発信ができること、ある程度のインテリジェンス性のもと信号発信できることもわかりました。したがって、Stuxnetに近いインパクトをもった、かなりの標的型であり、極めてカスタマイズされた度合いが高いICSに、ピンポイントで攻撃するしかけでした。
▼ 注9
クレデンシャル情報:ID やパスワードなどユーザー認証するための情報
▼ 注10
UPS:Uninterruptible Power Supply、無停電電源装置