マカフィーは1月27日、ウクライナの電力企業を狙ったサイバー攻撃事件を重要インフラセキュリティの観点から同社ブログで解説した。
事件は、2015年の年末にウクライナ西部の都市イヴァーノ=フランキーウシク周辺で数時間にわたって停電が発生したことに端を発する。ウクライナ保安庁(SBU)は、この停電がロシアによるサイバー攻撃によるものであると声明を発表した。過去にもサイバー攻撃が原因と思われる停電はあったが、政府が公式に認めたこともあって世界中で大きな話題となった。
複数のセキュリティベンターは、攻撃に使用されたマルウェアに関するレポートを発表しているが、現時点で侵入経路や停電の直接的な原因は明らかになっていない。攻撃の全容が解明されるまで多くの時間がかかると見られている。
マカフィーのサイバー戦略室 シニア・セキュリティ・アドバイザーを務める佐々木 弘志氏によると、攻撃者は最初に標的型メールを用いて「BlackEnergy」と呼ばれるマルウェアを情報システムに感染させたようだ。その後、情報システムの感染を足掛かりとして監視制御システム「HMI(Human Machine Interface: 電力システムのオペレータの操作端末)」に感染を拡大させた。このHMIが感染したことで制御装置が不通となったことが原因で電力システムが正常に動作しなくなった。
また、佐々木氏は万一国内の電力企業が同様の攻撃で狙われた場合、現時点では「攻撃は成立しなかった」と考察している。今回のマルウェアは、ドイツやオランダのサーバに接続して必要なツールをダウンロードするものであったが、この手法は国内の電力企業に対して効力がないと見ている。
今回のマルウェアを解析したKnownSec社のレポートによると、マルウェアの一部に日本語の文字列が含まれていたことが判明している。佐々木氏は、マルウェアに日本と関係する痕跡が残っていることから、今後攻撃者が手法を変えるなどして日本を標的とする可能性がある。
今回の攻撃は、「電力企業側に攻撃者への内通者がいた」「攻撃手法が軍事作戦の発想に近いものがあった」などとされている。佐々木氏は、こうした新たなサイバー攻撃を従来のセキュリティ対策だけで防ぐことが難しいと見ている。
セキュリティベンダーは、サイバーセキュリティ以外の知見を持つ必要がある。例えば、物理セキュリティと連携したり、軍事的な防御の知見を取り入れたりするなどの取り組みなどが考えれれる。防御策も通常の攻撃と違い、「いかに攻撃されないかではなく、いかに攻撃を受けたあとに早く復旧するか」が重要だという。
この考え方は、レジリエンス(回復性)と呼ばれるももので、重要インフラのように可用性を重視するシステムでは最も大切とされている。レジリエンスを実現するには、場当たり的なセキュリティ対策の実施ではなく、組織体制や、社外の脅威情報共有、サイバー演習などの教育も含めた包括的な備えが必要となる。今後の日本のインフラセキュリティの発展のためにも、ウクライナの事件を教訓として生かすことが重要であるとまとめている。