あるバイオ関連の製造施設が2021年春にランサムウェア攻撃を受けたとき、対応チームは違和感を覚えた。攻撃者は中途半端な身代金要求のメモを残しただけで、実際に身代金を回収することにはさほど興味がないように見えたのだ。
このときのマルウェアは衝撃的なまでに洗練されたものだった。このため、地球最強の生物との異名をもつ微小な無脊椎動物のクマムシにちなんで、「Tardigrade(緩歩動物、クマムシ)」と名付けられた。
生物医学とサイバーセキュリティの企業であるBioBrightの研究者らがさらに詳しく調べると、Tardigradeの機能は単に施設中のコンピューターをロックするだけではないことが判明した。このマルウェアは環境に適応し、身を隠し、さらにはC&C(コマンド&コントロール)サーヴァーから切り離されても自律的に動作できることがわかった。まったく新しいタイプのマルウェアだったのである。
こうしたなか、BioBrightが加盟しているサイバーセキュリティの非営利団体「Bioeconomy Information Sharing and Analysis Center(BIO-ISAC)」は11月22日(米国時間)、Tardigradeに関する調査結果を公開した。誰がこのマルウェアを開発したかについては、BIO-ISACは明らかにしていない。
だが、その巧妙さとその他のデジタルフォレンジック(デジタル鑑識)で見つかった手がかりから、潤沢な資金と動機をもつ「高度で持続的な脅威(APT)」を実行するグループの仕業とみられている。しかもBIO-ISACによると、このマルウェアはバイオ製造分野において「活発に拡散している」という。
「ほぼ確実にスパイ活動から始まったものですが、いまではあらゆる活動にかかわっています。妨害から破壊行為、スパイ活動まで、あらゆることです」と、BioBrightの最高経営責任者(CEO)のチャールズ・フラッキアは言う。「これまで確認されてきたこの業界のマルウェアのなかでは段違いに洗練されています。ほかの産業を標的にしたAPT攻撃(持続的標的型攻撃)による国家主導の攻撃や活動に不気味なほど似ています」
新型コロナウイルスのパンデミック(世界的大流行)と闘うべく世界中の国々が最先端のワクチンと医薬品を大急ぎで開発・製造して販売にこぎ着けようとするなか、バイオ製造分野の重要性は誰の目にも明らかになっている。被害を受けた施設が新型コロナウイルス対策に関連しているかフラッキアはコメントを避けたが、施設での製造プロセスは重要な役割を担っていると強調した。
より高度で広範な機能
研究者らはTardigradeについて、「Smoke Loader」という名のよく使われているマルウェアダウンローダーに似ていることを発見した。「Dofoil」とも呼ばれるこのツールは、遅くとも2011年、あるいはもっと以前からマルウェアのペイロードを配布するために使われており、犯罪者向けの掲示板で容易に入手できる。
Smoke Loaderに関連して2018年に、このツールを用いた大規模な暗号通貨マイニング活動をマイクロソフトが阻止している。また、セキュリティ企業のProofpointは7月、このダウンローダーを正規のプライヴァシーツールに偽装して被害者にインストールさせるデータ窃盗攻撃に関する調査結果を発表した。
攻撃者はさまざまな既製のプラグインを使ってSmoke Loaderの機能を目的に応じて調整できる。さらにSmoke Loaderは、巧妙な技術的な仕掛けによって身を隠すことでも知られている。
BioBrightの研究者によると、TardigradeはSmoke Loaderに似てはいるものの、より高度で、より広範なカスタマイズが可能になっているようだという。また「トロイの木馬」としての機能も追加されている。被害者のネットワークにインストールされると、保存されているパスワードを検索したり、キーロガーを展開したり、データの抽出を開始したり、攻撃者による独自の活動のためのバックドア(裏口)を設置したりする。
「このマルウェアは、環境ごとに異なる動作をするように設計されているので、シグネチャーが常に変化し、検出しづらくなっています」と、BioBrightのマルウェアアナリストのキャリー・チャーチウェルは言う。「100回近くテストしましたが、Tardigradeは毎回違う方法で自己構築し、違う方法で通信を試みました。さらにC&Cサーヴァーと通信できない場合は、より自律的に独自に活動する能力を備えていたのです。これについてはまったく予想していませんでした」
国家が狙う知的財産
つまり、Tardigradeは自身を仕込んだハッカーから切り離されても、被害者のネットワーク内でどのように行動すべきか判断できるのである。研究者らによると、Tardigradeは主にフィッシング攻撃によって配布されるよう設計されているように見える。ただし、汚染されたUSBメモリーを介しても拡散できる上、適切な相互接続があれば感染したネットワークから別のネットワークへと自律的に移動することすらできるという。
研究者らは、極端な暑さや寒さ、放射線の照射、果ては月面への不時着にも耐えられる微小動物であるクマムシに敬意を表し、このマルウェアの名を選んだ。このマルウェアも本家のクマムシに似て目立たず、適応性と回復力に優れている。
関連記事 :地球最強の生物「クマムシ」、その強靭さの秘密が明らかに(動画あり)
サイバーセキュリティ企業のMandiantのシニア・ヴァイスプレジデント兼最高技術責任者(CTO)のチャールズ・カルマカルによると、バイオテクノロジー企業と製薬会社に対する国家によるデジタルスパイ活動は、ますます一般的になってきているという。
カルマカルは今回のTardigradeに関する研究に発表前に目を通したわけではなかったものの、概して中国やロシアなどの国々は、酵素、医薬品、製造プロセスに関する知的財産を奪取しようと常に狙ってきたと指摘する。それらを奪うことができれば、数十億ドルの資金と何年にもわたる研究開発期間の節減につながるからだ。
国家レヴェルの攻撃者にとっては、新型コロナウイルスのパンデミックがさらなる後押しになったと、カルマカルはつけ加える。
「こうした被害の多くは公表されていません。知的財産が盗まれても、法的には公表する義務がありませんから」とカルマカルは言う。「しかしわたしたちは、ヘルスケア企業に対する経済的動機に基づく破壊的攻撃や、バイオテクノロジー企業と製薬会社に対するスパイ活動を目的としたさまざまなサイバー攻撃を目にしてきました」
こうしたネットワーク感染の原因をたどると、悪意あるUSBメモリーに行き当たったケースも存在したと、カルマカルは付け加える。
重要な警鐘
Tardigradeの背景と目的についてはまだ不明な点が多いと、BioBrightのフラッキアは強調する。例えば、攻撃者がなぜこのような洗練された高度なツールを使って、ランサムウェアのような派手で目立つものを配布しているのかはわかっていない。これではTardigradeが発見される可能性を高めているだけだ。
ランサムウェア攻撃はほかの活動の隠れみのになっている可能性もある(これは過去にも採用されたことのある戦術であり、なかでもロシアによるものが悪名高い)。だが、まだはっきりした結論は出ていないと研究者らは言う。
バイオ関連の製造分野は高いリスクを抱えていると、フラッキアは指摘する。生産に使われる産業ネットワークの多くがオープンであることと、効率的に働くことを目的に構築されているからだ。セキュリティを高めてセグメント化を進めると、高度に調整された製造プロセスが複雑になってしまう。
今回、BIO-ISACは情報公開の実施を優先している。潜在的被害者が感染の兆候を探せるようにし、セキュリティ業界全体が警戒できるようにするためである。
研究者がこのマルウェアを調べ始めた当初は、ふたつのウイルススキャナーしか検出に成功しなかったが、現在では数十のウイルススキャナーがこのマルウェアにフラグを立てられるようになっている。研究者らは、さらに多くのウイルススキャナーが保護機能を追加することを期待している。
「バイオ製造分野における多くのネットワークの基本設計には、サイバーセキュリティ上の問題が潜んでいます」と、フラッキアは言う。「ですから今回の情報公開で伝えたいのは、単に『健康のために野菜を食べなさい』というメッセージではありません。セキュリティの観点からいえば、実質的には『食べないと死にますよ』というところまで来ているのです」
ほかの業界の例でもわかるように、たったひとつの警告で、一夜にしてシステムをそっくり変えるよう動機づけることはできない。それでもTardigradeの一件は、いまやかつてないほど重要になっている業界にとって、重要な警鐘になるかもしれない。
※『WIRED』によるハッキングの関連記事はこちら。
TEXT BY LILY HAY NEWMAN