ウクライナで大規模停電、原因は「トロイの木馬」 - Symantec

  [2016/01/07]

シマンテックは1月5日、ウクライナの電力会社に対する攻撃で使われたと報じられたトロイの木馬「Disakil(別名 KillDisk)」が、以前から同国のメディアを標的にして使われていたことをセキュリティブログで指摘した。

Disakilは、2015年12月にウクライナの電力会社を狙い、大規模な停電をもたらしたとされるトロイの木馬。シマンテックの観測では、停電の原因がDisakilによるものなのかわからなかったが、SANS ICSチームは、ブログ記事で電力会社に使われたDisakilのサンプルを入手したと報じている。

Black Energyを使っていることから、犯行グループはSandwormと見られている。Sandwormは、これまでにもウクライナの企業を標的にしてきたほか、NATOや西ヨーロッパの各国、エネルギー産業の企業を狙っていることもわかっている。

シマンテックによると、ウクライナのメディア企業で、複数のコンピュータがトロイの木馬に感染したことを10月に観測。攻撃はトロイの木馬「BlackEnergy」の新しい亜種を使ってコンピューターに感染させた後、管理者のログイン情報を取得してDisakilを実行した。

感染したコンピューターは、システムに関わる重要なファイルが消去されてしまい、最終的には操作不能に陥ってしまう。このことから、シマンテックはDisakilについて「多段階の脅威であり、最大の特徴は破壊を狙うその貪欲さにある」と指摘している。

攻撃方法の代表的な例は、MBR(マスターブートレコード)や特定の形式のファイルをごみデータなどで上書きする、といったシンプルなもの。攻撃後は、システムを再起動する前にWindowsのログファイルを消去して痕跡を隠そうとする。

さらに、「sec_service」というサービスを停止/削除することも特徴の1つ。sec_serviceは、Eltimaの「Serial to Ethernet Connector」というソフトウェアに属するサービスで、ネットワーク接続を介してリモートにシリアルポート経由で機器にアクセスできる。

sec_service サービスを停止することで、機器の障害を監視する分離型アラームや、LANの障害発生中でも監視を行える冗長バックアップ通信、電圧や温度、湿度、圧力を監視するアナログアラーム入力といった機能を無効化できる。

エネルギー産業を狙ったこの種の攻撃は、前例がないわけではなく、2012年にシマンテックがShamoon攻撃を確認している。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

高畑充希、観客の公開プロポーズ成功に思わず涙「感動しちゃった!」
[16:00 5/29] エンタメ
海老蔵、ダルビッシュ復帰に感動「これが見たくて」「流石っすね」
[15:44 5/29] エンタメ
「マカロニほうれん荘」が携帯ゲームに!?ドット絵のゴリラダンスTシャツ
[15:20 5/29] ホビー
[本郷奏多]実写版「ハガレン」へ気合 エンヴィー役でビジュアル「近づけるんじゃ」
[14:08 5/29] エンタメ
東国原英夫、上西議員を猛批判「税金の無駄遣い」「即刻クビ」
[14:03 5/29] エンタメ

特別企画 PR

求人情報