パスワードを忘れた? アカウント作成
15626604 story
セキュリティ

産業用システム用マルウェア発見される 13

ストーリー by nagazou
おそろしや 部門より
米国の政府機関が共同で行った発表によると、産業用システムを乗っ取るためのマルウェア「Pipedream」が見つかったという。米国土安全保障省(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、エネルギー省(DOE)が共同でサイバーセキュリティアドバイザリーを出している(米国土安全保障省BleepingComputerDragosGIGAZINE)。

発表によるとこのPipedreamは、業用制御システム(ICS)および監視制御およびデータ取得(SCADA)デバイスに対する完全なシステムアクセスを獲得する能力があるとしている。ターゲットとなっている具体的な製品名として、Schneider Electric製プログラマブルロジックコントローラー(PLC)やオムロン製のSysmac NEX PLCを利用した製品、Open Platform Communications Unified Architecture(OPC UA)サーバーなどの名前が出ている。これらの機器を利用した製品は液化天然ガス(LNG)の生産施設で利用されることが多いことから、PipedreamはLNGの生産施設を標的にしたものではないかと推測されている。

BleepingComputerの記事によると今回の「Pipedream」は、2017年に産業安全システムを無効にしようとした「TRITON(Trisis)」、2016年にウクライナで停電を引き起こしたマルウェア「Industroyer」、2010年頃にイランの核開発計画を妨害した「Stuxnet」に匹敵するものであると指摘している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by SCADA (48931) on 2022年04月15日 19時02分 (#4233396) 日記
    シュナイダーもオムロンもどっちも実装してた気がする。 #なんか呼ばれた気がしたので
  • by Anonymous Coward on 2022年04月15日 16時23分 (#4233286)

    他の産業でも幾らでも使われてんだろうに。

    • by Anonymous Coward on 2022年04月15日 16時49分 (#4233305)

      OPC UAなんてドイツのIndustry4.0での推奨通信プロトコルなので、ドイツを中心とした先進工場は軒並み引っかかるんじゃないかな。
      日本はPLCが中心でメーカも強豪がひしめいていて独自プロトコルが蔓延っているから(OPC対応も進んではいるけど)、被害は少なそう。
      勿論、OMRONのPLCもターゲットになっているから、安穏とはいきませんけどね。

      親コメント
      • 本件で、OPC UAは、デフォルトもしくは事前に漏洩しているクレデンシャルによる、いわばパスワードリスト攻撃を受けるところまで。
        ここまでは真面目に設定しているか次第なわけですが、
        シュナイダー製PLCを対象とした別攻撃で、クレデンシャルを盗むそうだから、それを組み合わされるとよろしくない感じ。

        ここから一般人に関係ある話
        これらの攻撃の踏み台マシンにされるのは、市販ASRock製マザボ RGB LED用の署名済みドライバー(AsrDrv103.sys)の
        脆弱性だと言う(CVE-2020-15368 [nist.gov])
        この脆弱性はローカル環境からの特権昇格なので、水際でマルウェア侵入が防げていれば問題ないが、
        一度でも侵入されたなら、今回の攻撃に悪用される可能性がある。

        なお、このドライバーの別バージョン(AsrDrv101.sys、同102.sys)に

  • by Anonymous Coward on 2022年04月15日 16時52分 (#4233307)

    一般のインターネットから攻撃可能なのか
    LANやイントラなど閉じたネットワーク内でのみ可能なのか
    によるんじゃないかな

    米国の産業用ってことはLANやイントラの範囲内に入り込むだけでも
    結構な僻地となるケースもあるんじゃないかな
    VPNやsshで入いる端末が乗っ取られていたら距離は関係ないだろうけど

    # 仕掛けるために荒野を越えてとか割に合わなそう

    • by Anonymous Coward

      攻撃用ではなく、産業スパイがこっそり仕掛けて情報を収集させる目的でしょう。

      • by Anonymous Coward

        収集してもインターネットに繋がってないなら送信方法がないのでは…?

        • by Anonymous Coward

          産業スパイは現地にいるんですよ。

          • by Anonymous Coward

            産業スパイは現地にいるんですよ。

            今北産業よろしく情報をいただくのですね

            # 三行でまとまる機密情報に驚愕

            • by Anonymous Coward

              まあこの手の機器にはリッチなメモリもなかったりするから。

    • by Anonymous Coward

      この手の通信は物理層はLANケーブルがほとんどで、特にリアルタイムな機械制御じゃなくて定期監視とかデータ吸い上げなんかだとWi-FiやLPWAに載せるケースも多い(工場内配線は面倒だし)。
      たけど工場のセキュリティなんてまめに更新しないし、そこのインフラや現場の担当者がそこまでセキュリティを意識しているかと言えばそうでもない。
      だからWi-Fiを傍受されたりVPNなりで侵入される可能性はあるだろうね。
      特にOPC UAだと吸い上げデータの集約はサーバPCになるから、そこを突かれるとどうしようもない(これは今回のマルウェアに限らずだけど)。
      海外はPLCより産業用PCで制御が主流だから、侵入されると制御を奪われてヤバイ、って意味で脅威度はかなりのはず。

      • by Anonymous Coward

        LTE搭載の盗聴デバイスをコンセントに隠せばあっさり盗聴できそう

  • by Anonymous Coward on 2022年04月15日 22時04分 (#4233490)

    90年代に流行ってたくさんクローン作られたパイプを繋げるゲームと、
    少し前に見つけたIFTTTよりも細かくアプリ連携できるPipedreamっていうサービスと名前被る。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...