米国政府は最近,2017年のマイルストーンとなったTRITONマルウェア攻撃に関連する制裁措置を発表した.サウジアラビアの石油精製所に対するこの攻撃は,安全計装システム(SIS)と直接やりとりすることで,他の産業サイバー攻撃を凌駕するものだった.SISは産業施設の自動化された安全防御の最終ラインであり,機器の故障や爆発・火災などの大惨事を防ぐように設計されている.
ロシアの化学・機械中央科学研究所に対する新たな制裁は,いくつかの点で注目に値する.TRITONの背後にいる脅威の主体としてロシアを名指しした最初の政府の行動であり,米国の国立研究所と同等の学術機関を具体的に名指ししている.また,重要インフラへのサイバー攻撃が深刻な結果をもたらす可能性があるという強いシグナルを送っている.
この制裁措置は,今月初めにロシアのGRU幹部6人を「破壊的なマルウェアやその他の破壊的な攻撃をサイバースペースで世界的に展開した」罪で起訴した措置に続くものである1.
今こそ,貴社施設のサイバーセキュリティの監視に特に警戒が必要です.米国の選挙が間近に迫り,その後に不確実な時期が続く可能性がある今,民間部門が政府や公共部門組織と協力して,公共の安全を確保し,社会の機能を維持するシステムの崩壊を回避することが重要です.
重要インフラの脅威は地域社会の行動を必要とする
Nozomi Networks が2018年に TRITON マルウェアを分析した際,私たちは TRITON が失敗した一方で,攻撃者が最終的なペイロードの注入に成功した可能性もあると考えました.この認識と,増え続ける国家レベルの敵対者やその他のハッカーが重要インフラに狙いを定めているという知識が相まって,国家の重要インフラを強力に防衛することが求められている.
この世界的な問題を解決できるのは,単一の団体ではありません.世界のエネルギー,輸送,医療,選挙,その他の重要なシステムがサイバー攻撃に耐えられるよう,エンドユーザー,第三者サプライヤー,インテグレーター,標準化団体,業界団体,政府機関が協力する必要がある.
"TRITONマルウェアに対するロシアへの制裁は,人命や安全を脅かす悪意のあるサイバー活動に対して,私たちがどれほど真剣に取り組んでいるかを伝える重要な一歩です.
また,科学研究機関に対する制裁は,ロシア政府に対する制裁よりも,これらのツールを開発した個人に大きな影響を与える可能性があります.科学者はその評判によって生計を立てているため,人々の生命を脅かすとして非難し,国際的な共同研究能力に影響を与えることは,重大な悪影響を及ぼす可能性があります.
より広く言えば,最近の起訴や警告など,ロシアのサイバー活動を非難する最近の米国政府の他の活動と組み合わせることで,ロシアは,少なくとも責任の所在を明らかにせずに,罰せられることなく行動することはできないという警告を受けているはずです.
このタイミングは,選挙インフラへのハッキングを警告する意図があるのかもしれませんし,あるいは,アメリカ有権者に対してロシアに強硬な姿勢を示すために意図されたものなのかもしれません.あるいは,その両方なのかもしれません."
- Suzanne Spaulding,元DHS次官,Nozomi Networks アドバイザー.
マルウェアと国家攻撃に厳重警戒を
2019年,TRITONの背後にいるのと同じハッカーが米国の電力網のネットワークをスキャンし,アクセスを探っていたことが公になりました.当時,米国政府はエネルギーおよび重要インフラ事業者に脅威を警告し,警戒を促すという当時としては異例の措置をとりました2.
さて,米国の選挙が近づくにつれ,再び厳戒態勢をとる時期になりました.サイバー脅威の増大と政治的不確実性に伴い,IT, OT, IoT ネットワークを注意深く監視することを強くお勧めします.また threat intelligence情報が最新であり,インシデントレスポンス計画が実践されていることを確認してください.最後に,通常とは異なる不審な動きについて,適切な政府,産業界,公的機関と積極的に連携することを強くお勧めします.
