TOiNX(サービス情報)

電力システムの概要

2015年 ウクライナの大規模停電（その１）- BlackEnergy3 –

2015年12月23日、ウクライナの首都キーウを含む3都市で大規模停電が発生し、22.5万人に影響を与える事態となりました。復旧までに最大6時間を要したこの停電はウクライナの電力制御システムを狙ったサイバー攻撃が原因であり、「サイバー攻撃によってエネルギーの供給が停止した世界初の事例」と言われています。

攻撃者は6ヶ月以上をかけて対象とする電力会社の調査を行っていたと言われています。収集した企業情報・社員情報等を使用して標的型攻撃メールを送付して業務用端末をマルウェアに感染させました。その後、感染を拡大させながら企業内部の情報を収集し、VPN装置のアカウント情報（ID/パスワード）等を収集しました。最終的には、VPN装置経由でHMI（Human Machine Interface：ヒューマンマシンインタフェース）から変電所のブレーカーを不正に操作して停電が引き起こされました。

このサイバー攻撃で使用されたマルウェアは「BlackEnergy3」と呼ばれています。この停電では、同時に以下の攻撃が実行されました。

• マルウェア「KillDisk」による制御システム内機器のディスク破壊
• UPS（Uninterruptible Power Supply：無停電電源装置）の設定変更
• フィールドデバイスのファームウェア改ざん
• コールセンターに対するサービス妨害（Denial-of-Service : DoS）攻撃

2016年 ウクライナの大規模停電（その2）- Industroyer –

BlackEnergy3の事例から1年後の2016年12月、ウクライナの首都キーウで再び大規模な停電が発生しました。この停電も電力制御システムを狙ったサイバー攻撃が原因であると言われています。このサイバー攻撃で使用されたマルウェア「Industroyer」はロシアのハッカー集団「Sandworm」によって開発され、ウクライナの電力網を停止させることを目的として以下の特徴を有していました。

• IEC 60870-5-101（IEC 101）（※1）、IEC 60870-5-104（IEC 104）（※2）、IEC 61850（※3）、OLE for Process Control Data Access（OPC DA）（※4）の4つの制御用通信プロトコルに対応し、かつプロトコルごとにモジュール化
• 上記のモジュールが特定の日時（2016年12月16日、2016年12月20日）に起動
• 攻撃実行後はレジストリキーの削除やファイルの上書き等により攻撃の痕跡を削除
• Siemens社のデジタル保護リレーSIPROTECに対するDenial-of-Service（DoS）攻撃ツールも実装

VPN装置経由でHMIから変電所のブレーカーを不正に操作して停電を引き起こしたBlackEnergy3とは異なり、Industroyerから直接変電所のブレーカーを制御するコマンドを送信できることが特徴でした。Industroyerの構成は以下のリンクに記載されています。

参照：Anton Cherepanov, ESET, WIN32/INDUSTROYER A new threat for industrial control systems, https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf, Figure1

– IndustroyerからIndustroyer2へ –

2022年2月24日にロシアがウクライナへ侵攻し、本コラム執筆時点においてもロシア – ウクライナ間の戦争が続いている状況です。その最中、Industroyerの新種である「Industroyer2」が確認されました。ウクライナ侵攻から約1ヶ月後の2022年3月23日に展開されていましたが、2022 年4月12日にCERT-UA（ウクライナ政府コンピューター緊急対応チーム）によってIndustroyer2の活動が最初に報告され、最終的にはCERT-UAとESET（スロバキアに本社を有するセキュリティ企業）が連携して攻撃を防ぐことに成功しました。今年の8月6日から8月11日にアメリカネバダ州ラスベガスで開催された「Black Hat USA 2022」（※5）において、ESETのセキュリティ研究者がIndustroyer2に関する講演を行っています。

Industroyer2の構成と一連のタイムラインは以下のリンクに記載されています。
参照：ESET Research, Industroyer2: Industroyer reloaded This ICS-capable malware targets a Ukrainian energy company, https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/, Figure1, Figure2

ndustroyer2はウクライナの高圧変電所をターゲットとし、「108_100.exe」というファイル名で2022年4月8日に実行されるようにスケジューリングされていました。Industroyerに近い部分も多いものの、以下の特徴を有していました。

• ndustroyerが対応していた制御用通信プロトコルのうちIEC 60870-5-104（IEC 104）のみに対応
• 変電所で使用される保護継電器（リレーの1種であり、電流や電圧の急激な変化から電気回路を保護する役割を有する装置）と通信を行う機能を保有
• 別のConfigファイルに設定がコーディングされていたIndustroyerとは異なり、設定はマルウェア本体にハードコード
• 「CaddyWiper」（※6）と呼ばれるデータ消去型マルウェアも展開し、接続したドライブのユーザデータやパーティション情報の削除を試行

EC 101やIEC 104の基となるIEC 60870-5は、国際電気標準会議（IEC）技術委員会57によって開発された電力制御システム間で監視や制御を行うための通信プロトコルにおける国際標準であり、IEC 101やIEC 104はIEC 60870-5の関連規格として定義されています。先述のとおり、IEC 104はIEC 101をTCP/IP上で実現するためのプロトコルであり、電力制御システム内にあるデバイスの各項目を一意に識別するための値がIOA（Information Object Address：情報オブジェクトアドレス）です。攻撃者は、特定のIOAを含むASDU（Application Service Data Unit）コマンドを送信し、ターゲットとした変電所を制御しようとしたことが明らかになっています。

図 1　IEC 104のプロトコルスタック

IEC 104のサンプルパケット（ASDUコマンド）をネットワークプロトコルアナライザであるWiresharkで確認したときの図を以下に示します。トランスポート層のプロトコルとしてTCP（宛先ポート番号が2404番ポート）、アプリケーション層のプロトコルとしてASDUコマンドを含むIEC 104が使用されていることが確認できます。

図 2　IEC 104のパケットサンプル

おわりに

本コラムでは、ウクライナの電力制御システムを狙ったサイバー攻撃の事例を紹介しました。日本の電力分野においては、電力制御システムを含めた制御システムに対するサイバー攻撃等の脅威の高まりを受けて2016年3月に「スマートメーターシステムセキュリティガイドライン」（※7）、2016年5月に「電力制御システムセキュリティガイドライン」（※8）が制定されました。また、電気事業法下の電気設備に関する技術基準として両ガイドラインが参照される形となりました。

日本では電力分野以外にも分野ごとに経済産業省主導のもとセキュリティガイドライン策定が進められています。制御システムに対する脅威の動向をふまえつつ、PDCAサイクルによって継続的にセキュリティを向上させていく取り組みが求められています。

著者紹介

齋藤　貴久（Takahisa Saito）

2014年、東北インフォメーション・システムズ株式会社（現：株式会社トインクス）入社。東北電力様や東北電力グループ企業様向けのシステム開発業務に従事後、2015年11月より約3年半技術研究組合制御システムセキュリティセンター（CSSC）へ出向し電力分野を中心とした制御システムに対するセキュリティ評価（ペネトレーションテストおよびセキュリティ評価）やリスクアセスメント、セキュリティ動向調査、重要インフラ企業様向けのセキュリティ教育等の業務に従事。
2019年に帰任し、電力分野を中心とした制御システムに対するセキュリティ評価（ペネトレーションテストおよびセキュリティ評価）やリスクアセスメント、物理セキュリティ監査、制御セキュリティEラーニングコンテンツ作成、お客様先における制御システムの維持保守等の業務を担当している。
保有資格はIPA 情報処理安全確保支援士・ネットワークスペシャリスト、CISSP（Certified Information Systems Security Professional）、GIAC Penetration Tester（GPEN）、CISA（Certified Information Systems Auditor）、CEH（Certified Ethical Hacker）、TOEIC Listening & Reading Test 890等。