産業制御システム“最大の脅威”とは

　 　ESETはスロバキアに本社を構えるセキュリティベンダーの老舗だ。30年以上にわたりヨーロッパのベンダーとして、ウクライナやロシア、そして日本も含めた全世界の企業向けエンドポイントセキュリティを手がけている。

　現在、ロシアでのビジネスを撤退しているが、ロシア・ウクライナ戦争後もロシアを含む周辺国の調査、研究には定評がある。

　ウクライナへのサイバー攻撃は、2015年12月に発生した大停電が有名だ。首都キーウを含む3都市で大規模な停電が発生。BlackEnergyと名付けられたマルウェアは、VPN装置を経由して電力制御システムを操作することで停電を引き起こした。そのマルウェアの作成と攻撃にはロシアの関与が疑われている。

　そして、1年後の2016年12月には、再びキーウでサイバー攻撃による大規模な停電が発生した。ロシアのハッカー集団であるSandwormがマルウェアを開発、攻撃を行ったとされ、利用されたマルウェアは「Industroyer」と呼ばれる、BlackEnergyより高度なプログラムであった。

　BlackEnergyはVPN装置の脆弱性を利用して制御システムのアクセスするものだったが、Industroyerは、コントローラーごとに仕様が異なるラダー言語という特殊なコードを使用することで、直接制御システムのバルブやセンサーを操作・攻撃できるようになった。

　2024年2月に公開されたESETのブログによれば、ESETは長年ウクライナを保護し、2022年2月24日のウクライナ侵攻以降も、ロシアからのサイバー攻撃を捕捉・調査している。さらに、Industroyerの新種による攻撃は、当局と連携して未然に防いだといった実績もある。

　このときのサイバー攻撃では「ワイパー」と呼ばれるハードディスクのデータを消去するマルウェアも利用され、電力会社だけでなく、政府機関や金融機関も攻撃されたという。

続くウクライナ国民やEUを狙った攻撃

　その後もロシアによる侵攻、サイバー攻撃は続いている。先に紹介したESETのブログによると、「Operation Texonto」という新しい情報作戦キャンペーンが確認された。


　Operation Texontoは2023年10月から観測されており、少なくとも4回の攻撃が確認されている。攻撃の種類はスピアフィッシングとスパムメールによる攻撃をメインとするキャンペーンだとしている。スピアフィッシングは、ウクライナの防衛産業の会社に送られていたことが確認された。

　内容は、使用しているメールボックスを削除するのでログインして認証情報を確認してほしいという内部メールを偽装したものだ。ランディングページ（誘導先）はOffice365のログインページを偽装したフィッシングサイトだという。同様の攻撃はEU関係者にも送られていた。

　スパムメールは、第1波と第2波が確認されている。第1波（2023年11月）は、おもにウクライナ国民を狙った偽情報メールであった。「エネルギー事情が悪化し暖房が止まる」「医薬品が不足する」「食料が不足する。（食料がなくなったら公園の）鳩を捕まえて食べると良い」といった内容だ。送信元はウクライナ農業政策食糧省、保健省などをかたっているが、省庁のロゴ・紀章に間違いがあるといったずさんな点も確認されている。

　その後の第2波（23年12月）では、ウクライナ国外のウクライナ語話者が標的とされた。内容は「アメリカとその手下をロシアの土地から追い出しキエフ大公国を復活させよう」「四肢のどれか1本を切り落とせば徴兵されずに済み今後の平和が約束される」など不穏なものが目立った。 【次ページ】情報戦の要となるのは「○○の拡散力」