Trend Microがスマート工場に見せかけたハニーポットを設置、どのような脅威があったのか：暗号通貨とランサムウェア

Trend Microは2019年5〜12月に、外部からはスマート工場に見えるようなハニーポットを構築して、サイバーセキュリティにかかわる脅威の実態調査を実施。2020年1月に結果を報告した。暗号通貨発掘ソフトの無断設置やランサムウェアといった攻撃を受けたという。

[＠IT]

　Trend Microは2020年1月21日（米国時間）、外部からはスマート工場に見えるようなハニーポットを構築した調査の結果を発表した。製造施設に対してどのような攻撃があるのか、攻撃者はどの程度の知識を持ち、どの程度巧妙な手口を使うのかを把握することが目的だ。

　この調査は同社が手掛けた最もリアルなハニーポットを使っており、サイバー犯罪者の攻撃を誘うと同時に、攻撃行動を完全に監視できるという。

　ハニーポットは実際のシステムに見えるように設計した。構成要素としてスマート工場が当然備えているはずのマシン制御用ハードウェアを含んでいる。プログラマブルロジックコントローラー（PLC）、ヒューマンマシンインタフェース（HMI）、産業制御システム（ICS）などだ。

　こういったハードウェアが欠けていると、高度な知識を持った攻撃者であれば、ハニーポットだと分かってしまうからだ。PLCなどには実際の工場で用いるような種類のプログラムもロードしてタスクを実行した。工場内でPLCをプログラムする際に用いるエンジニアリングワークステーションもシステムに接続した。

　実験の結果、エンジニアリングワークステーションは攻撃を受けず、攻撃はPLCと「Windows 7 Professional」をインストールしたファイルサーバに集中した。

「スマート工場」のシステム構成とハニーポット（赤）の位置出典：Trend Micro　ハニーポットのすぐ内側にコントローラー装置（PLC）の実物を配置した

　スマート工場だけではなく、実験ではこの偽工場の操業に当たるダミー企業も立ち上げた。実際の従業員を雇い、有効な連絡チャネルを持ち、主要業種の匿名の大企業を顧客に抱えるラピッドプロトタイピングのコンサルティング会社という設定だ。当然、ダミー企業のWebサイトも用意し、録音装置と接続した電話も用意した。Trend Microによれば、このような関連情報にだまされて、ハニーポットへのさまざまな攻撃を誘発できたという。

2カ月後から攻撃が始まる、まずは暗号通貨のマイニング

　ハニーポットを使った調査は2019年5〜12月に実施した。Trend Microは攻撃のハイライトを次のように月別に報告している。

• 2019年5月
  5月6日にハニーポットを開設。Trend MicroはVNC（Virtual Network Computing）を使ってHMIマシンをオンラインで公開した。アクセス制御は行わず、幾つかのワークステーションで同じパスワードを使用した。攻撃を誘うため、Trend Microはシステムに関する“漏洩（ろうえい）した”情報を流布し、システムがハックされているかのように見せかけた
• 2019年7月
  7月24日に攻撃者が初めてシステムに侵入し、暗号通貨マイニングソフトを設置した。この攻撃者はその後数カ月にわたってシステムへの侵入を繰り返し、暗号通貨マイニングソフトを再起動した。なお、この時期にセキュリティ研究者が今回のハニーポットを見つけそうになったため、直接連絡を取っている
• 2019年8月
  さまざまな攻撃者がシステムに侵入するようになり、その中には調査活動を行った者や、システムをシャットダウンさせた者もいた

4カ月後からは複数のランサムウェア攻撃を受ける