核施設を狙うマルウェアStuxnetの亜種が発見

2016.06.14 岡山大

2010年に世界中を騒がせたマルウェアStuxnetの亜種が発見されています。

New ICS Malware Irongate Channels Stuxnet to Scam SCADA Systems - Security Intelligence
https://securityintelligence.com/news/new-ics-malware-irongate-channels-stuxnet-to-scam-scada-systems/
New Stuxnet-like Malware Targets Industrial Control Systems - The Hacker News
http://thehackernews.com/2016/06/irongate-stuxnet-malware.html

制御系のICSシステム、SCADAシステムを狙うマルウェアが発見されています。このマルウェアは2010年に発見されたSIEMENS社の制御系システムを標的としたマルウェア、Stuxnetと同様の手法を用いることで注目されています。
セキュリティベンダーFireEye Labs Advanced Reverse EngineeringはPyInstallerを利用したドロッパー型のマルウェアを調査している間にこのマルウェアを発見し「IRONGATE」と名付け、SIEMENS社の制御系システムを標的とするものとしています。

このマルウェアはシミュレートされた環境でのみ動作するもので、一種のプルーフ・オブ・コンセプトと考えられます。稼動中の実際の環境に影響を及ぼすほどの機能はありません。
注目を集めたのは、IRONGATEがStuxnetと同じ振る舞いを見せたことです。Stuxnetマルウェアはイランの核施設を攻撃するために米国とイスラエルによって開発されたものと見られています。Stuxnetは、複数の施設のウラニウム濃縮用分離機に被害を与えています。
IROGATEはStuxnetと同様に、中間者攻撃(MitM)の手法を利用します。PLC(プログラマブルロジックコントローラ)とソフトウェアモニタリング処理の間に入り込み、攻撃する前に防御手段の有無を確認するとともに自らの痕跡を隠します。
IRONGATEはまた、中間者攻撃を精巧させるため、元々存在していたDLL(ダイナミックリンクライブラリ)を自らのものに入れ替えることで、特定の制御システムへの攻撃を可能にします。

いずれにせよ、IRONGATEにはStuxnetほどの複雑な機能や特定の国を標的とすることを示すような動作はありません。Stuxnetは検知から逃れるためにアンチウイルスソフトウェアを探しますが、IRONGATEはVMWareやCuckoo Sandboxといったサンドボックス環境を探します。
サンドボックス環境があればマルウェアは沈黙しますが、もし無ければ実行ファイルscada.exeをデプロイします。
FireEyeによれば、2015年下半期までに複数のIrongateの亜種がVirusTotalに登録され、既に2014年9月の時点で二つの亜種が確認されています。
同リサーチチームは、IRONGATEはStuxnetとは別の開発者が作ったものと結論付けています。

SCADAシステムや組み込み機器を狙うマルウェアが登場し、さらにその亜種も登場する現在、IoTへのセキュリティ脅威は年々高まっているといえます。

標的型攻撃とは?

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む