開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/10/24

産業制御システムへの標的型攻撃 感染端末が増加するHavexの狙いとは何か?

7月から8月にかけて、制御システムセキュリティの関係者の間であるマルウェアの存在が注目された。Havexと呼ばれる新しいマルウェアは、「ICS」や「SCADA」とよばれる産業制御システムを狙ったAPTキャンペーンのひとつされ、感染端末が思ったより広範に広がっていることなどが明らかにされた。いまのところシステムを攻撃する挙動は確認されていないが、その全体像は完全に解明されておらず、謎の部分も多く予断を許さない状況のこのマルウェアについて説明したい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

産業制御システムを狙うマルウェア「Havex」

photo
さまざまな産業機械を制御するシステムを狙うマルウェア「Havex」の特徴とは?
 「ICS」や「SCADA」とよばれる産業制御システムは、工業プロセスを操業、自動化するのに使われる一連のシステム、ネットワークのことを指す。これらのデバイスは、自動車生産や輸送からエネルギーや水処理に至るまでさまざまな業界で使われているものだ。

 解析はまだ続いており全様の解明には至っていないが、こうした制御システム業界を狙った持続的標的型攻撃(APT)キャンペーンにおいて見つかったとされるのが、Havexとよばれるマルウェアだ。

 Havexの存在は、いくつかのセキュリティベンダーや研究者が以前から確認しており調査が進んでいた。しかし6月ごろから、各社がブログなどでハッシュ値、シグネチャなどとともに公表しはじめた。

 Havexはリモートアクセス型トロイの木馬(RAT:Remote Access Trojan)プログラムで、標的に侵入すると、コマンドアンドコントロール(C&C)サーバーから複数の攻撃モジュールをダウンロードし、システムの脆弱性を利用して情報収集を行う。

侵入方法と判明している挙動とは?

関連記事
 Havexはどのように侵入されるのか。現在までに、3つの侵入方法が確認されている。

 1つは、企業のWebサイトに侵入しマルウェアを仕込み、そのサイトからダウンロードしたファイル(インストールソフト)を利用して標的に侵入する方法。2つ目は、特定の制御システムを持つ企業に向けたスピアフィッシングによってマルウェアを送り込む攻撃。3つ目は、業界がよく利用するサイトにマルウェアを仕掛ける水飲み場型攻撃だ。

 Havexは以上のような方法で標的に侵入したあと、前述のようにC&Cサーバーに接続し、攻撃(情報窃取)を開始する。このとき、ダウンロードされる攻撃モジュールのうちICSが標的であることを決定的にしたあるモジュールがある。解析したDigitalbond Labs.によれば、そのモジュールは、工場などで機器を制御するソフトウェア同士を連携するOPCサーバーを探して、その情報を暗号化してC&Cサーバーに送信しているという。

 OPCサーバーは、制御システム用の標準プロトコルであるOPCのネットワークを管理するサーバーだ。OPCはWindowsマシンのOLEを利用して、PLC(コントローラ)、HMI(操作コンソール)の管理・制御、それらと上位ネットワーク(イントラ、インターネット)のブリッジの役目を果たす。攻撃モジュールはOPCサーバーのバージョン情報から既知の脆弱性を判別し、OLEやDCOMの脆弱性を利用して情報を窃取する。

【次ページ】謎の部分も多く予断を許さないHavexの狙いとは

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!