産業制御システムを狙うマルウェア「Havex」

　「ICS」や「SCADA」とよばれる産業制御システムは、工業プロセスを操業、自動化するのに使われる一連のシステム、ネットワークのことを指す。これらのデバイスは、自動車生産や輸送からエネルギーや水処理に至るまでさまざまな業界で使われているものだ。

　解析はまだ続いており全様の解明には至っていないが、こうした制御システム業界を狙った持続的標的型攻撃（APT）キャンペーンにおいて見つかったとされるのが、Havexとよばれるマルウェアだ。

　Havexの存在は、いくつかのセキュリティベンダーや研究者が以前から確認しており調査が進んでいた。しかし6月ごろから、各社がブログなどでハッシュ値、シグネチャなどとともに公表しはじめた。

　Havexはリモートアクセス型トロイの木馬（RAT：Remote Access Trojan）プログラムで、標的に侵入すると、コマンドアンドコントロール（C&C）サーバーから複数の攻撃モジュールをダウンロードし、システムの脆弱性を利用して情報収集を行う。

侵入方法と判明している挙動とは？

　Havexはどのように侵入されるのか。現在までに、3つの侵入方法が確認されている。

　1つは、企業のWebサイトに侵入しマルウェアを仕込み、そのサイトからダウンロードしたファイル（インストールソフト）を利用して標的に侵入する方法。2つ目は、特定の制御システムを持つ企業に向けたスピアフィッシングによってマルウェアを送り込む攻撃。3つ目は、業界がよく利用するサイトにマルウェアを仕掛ける水飲み場型攻撃だ。

　Havexは以上のような方法で標的に侵入したあと、前述のようにC&Cサーバーに接続し、攻撃（情報窃取）を開始する。このとき、ダウンロードされる攻撃モジュールのうちICSが標的であることを決定的にしたあるモジュールがある。解析したDigitalbond Labs.によれば、そのモジュールは、工場などで機器を制御するソフトウェア同士を連携するOPCサーバーを探して、その情報を暗号化してC&Cサーバーに送信しているという。

　OPCサーバーは、制御システム用の標準プロトコルであるOPCのネットワークを管理するサーバーだ。OPCはWindowsマシンのOLEを利用して、PLC（コントローラ）、HMI（操作コンソール）の管理・制御、それらと上位ネットワーク（イントラ、インターネット）のブリッジの役目を果たす。攻撃モジュールはOPCサーバーのバージョン情報から既知の脆弱性を判別し、OLEやDCOMの脆弱性を利用して情報を窃取する。

【次ページ】謎の部分も多く予断を許さないHavexの狙いとは