サイバー攻撃のターゲットがPCやサーバー、スマートフォンから社会インフラへと広がっている。2017年7月下旬に開催されたセキュリティカンファレンス「Black Hat 2017」では、発送電設備や風力発電所に存在する脆弱性がサイバー攻撃の標的になっている実情が明かされた。

 サイバー攻撃による大規模な停電は、既に現実のものとなっている。ウクライナでは2015年12月と2016年12月の2年連続でサイバー攻撃による停電が発生。Black Hat 2017では、ウクライナの停電事件を解析したセキュリティベンダーがその詳細について解説したほか、米Tulsa大学のセキュリティ研究者が風力発電所に存在するセキュリティ脆弱性について警鐘を鳴らした。2つの講演内容に基づき、日本の電力インフラにも迫りつつあるサイバー攻撃の脅威を見ていこう。

電力網を狙うマルウエアが1年で高度化

 ウクライナの首都キエフで2016年12月17日に発生した停電事件について解説したのは、スロバキアのセキュリティベンダーであるESETと、米国のセキュリティベンダーであるDragosのセキュリティ技術者だ。DragosのRobert Lee CEO(最高経営責任者)は、「2015年12月の停電に比べて、2016年12月の停電の詳細はあまり知られていない」と指摘する(写真1)。

写真1●米DragosのRobert Lee CEO(最高経営責任者)
写真1●米DragosのRobert Lee CEO(最高経営責任者)
[画像のクリックで拡大表示]

 2015年12月23日にウクライナ西部で発生した停電は世間から大いに注目された。サイバー攻撃によって22万5000世帯もの大規模停電が発生したのは初めての事態であり、停電の直後にウクライナ保安庁が停電はロシア政府によるサイバー攻撃の結果だったとする批判声明を出したためだ。

 それに対して2016年12月17日にキエフで発生した停電は2度目ということもあって、2015年12月の停電ほど注目されていない。しかしESETやDragosが調査したところ、サイバー攻撃の手口は1年で高度化していたという。最も大きな違いは2016年12月の攻撃で使用されたマルウエア「Industryer」(ESETによる命名)や「CRASHOVERRIDE」(Dragosによる命名)が変電所のスイッチや回路遮断機を直接制御できるようになっていたことだ。

 2015年12月の攻撃で使われたマルウエア「Blackenergy」は電力会社のオペレーターが使うPCを乗っ取って、ユーザーのキー入力を盗み出したり、PCの画面情報を盗み見たりするだけだった。攻撃者は6カ月にわたってオペレーターのPCをモニタリングして、電力網の制御システムにログインするIDやパスワードを特定。それを使って電力網の制御システムを遠隔から手動操作して、停電を発生させた。

発送電設備をマルウエアが直接コントロール

 それに対して2016年12月の攻撃で使われたIndustryer/CRASHOVERRIDEは産業機器の遠隔操作に使われるプロトコルである「IEC 60870-5-101(旧:IEC-101)」や「IEC 60870-5-104(旧:IEC-104)」「IEC 61850」「OLE for Process Control Data Access(OPC DA)」を使って発送電設備にコマンドを送る機能を備えていた。電力会社のオペレーターが使用するPCにマルウエアを仕掛けるところまでは2015年12月の攻撃と同じだが、その後は電力網の制御システムを経由せずに、マルウエアが発送電設備を直接操作したもようだ(写真2)。

写真2●Industryer/CRASHOVERRIDEが備える機能
写真2●Industryer/CRASHOVERRIDEが備える機能
「IEC-101」などのプロトコルを使って発送電設備のコントロールを奪った
[画像のクリックで拡大表示]

 Industryer/CRASHOVERRIDEはドイツの重電メーカーであるSiemensやスイスの重電メーカーABB製の電力網制御システムに存在する脆弱性も悪用していた。こうした脆弱性はDoS(サービス拒否)攻撃に利用されていたとみられる。「サイバー攻撃で狙われたシステムは米国や日本、シンガポールなどでも使われている。電力網へのサイバー攻撃が先進国で発生しないとは言い切れない」。DragosのLee CEOはそう警鐘を鳴らした。