Dragos: AI使用にもかかわらず、水処理施設を狙う新種マルウェアは「誇大広告」

いつかAIは重要インフラを脅かすマルウェアを作成することができるようになるかもしれません。

しかし、産業サイバーセキュリティ企業Dragosによると、その時は今月初旬ではありません。このときは、イスラエルの水インフラを検索・破壊するように設定されたと見られる新種マルウェアのレポートが浮上しました。

ZionSiphonと呼ばれるこのマルウェアは、AI搭載サイバーセキュリティ企業Darktrace最初に特定しました。これは操作技術（OT）および産業制御システム環境を標的とするように設計されたと述べています。このコードはインターネット上でイスラエルが所有・運営する水処理施設および海水淡水化プラントに関連するIPアドレスをスキャンし、それらに侵入して塩素レベルを破壊し水供給を毒することを目的としています。

マルウェアのバイナリコード内の文字列には、イスラエルの水部門のさまざまなコンポーネントの名前、および「イラン、パレスチナ、イエメンの兄弟たちをシオニスト侵略に対してサポートしている」などの政治的なメッセージが含まれていました。

しかし、Dragosのテクニカルリード・マルウェア分析者Jimmy Wyles述べたように、このマルウェアは単なる「誇大広告」にすぎず、イスラエルまたは他のどこかの水処理施設にも脅威をもたらさないと主張しています。

たとえば、マルウェアを作成した者は、イスラエルの水処理施設で操作技術がどのように機能するかについてほとんど知識がないように見えます。

「コードは壊れており、ダム淡水化またはICSプロトコルについてほとんど知識を示していない」とワイリーは書きました。

開発者たちはまた、コードの大部分を生成するためにAIを使用したようで、それが幻覚とエラーにつながりました。ターゲットが水の海水淡水化に関連していることを確認するために設計されたすべてのWindowsベースのプロセス名とディレクトリパスは、「架空であり、おそらくLLMが生成した推測」で埋められていました。塩素レベルを操作するように設計されていると主張されている構成ファイルもまた偽物であり、おそらくAIを使って作成されました。

Darktrace分析は、彼らがテストしたマルウェアサンプルは機能しないように見えることを指摘しており、コードの国家ターゲット設定機能の設定が正しくないことを引用しています。

しかし、ワイリーは、マルウェアは正しく構成されていても水処理施設に対して無害だったはずであると書いています。これは、コードの残りの部分が「ロジックエラーと無効な仮定」にあふれており、操作不可能だったはずだからです。

マルウェアのUSB感染および自己破壊機能で同様の成熟度とロジックの問題が見つかりました。ワイリーは、Dragosが「敵のためにマルウェアを修正する事業に従事していない」ため、ZionSiphonに悩まされている欠陥の追加の技術分析を差し控えていると述べました。

このエピソードは、防御者、特に操作技術に従事する者がAI対応ハッキングなどのより新規な脅威にどの程度の注意を払うべきかについての継続中の論争を強調しています。一方で、より確立された戦術、技術、および手順はされており、外国ハッキンググループによって成功裏に活用されています。

操作技術（OT）—水施設、発電所および他の産業部門で使用される機械を制御または操作するシステム—は、情報技術環境と大きく異なります。これは、サイバーセキュリティ防御者と、効果的なエクスプロイトを設計するための業界固有の知識やスキルセットがしばしば不足している悪意のあるハッカーの両方に課題をもたらします。

つまり、Dragosは公開されているレベルで産業用制御システムに脅威を与えることができるマルウェアサンプルが10未満であると主張しています。ZionSiphonはそのうちの1つではありません。

ワイリーは、脅威インテリジェンス企業およびメディアアウトレットがマルウェアがもたらす危険をどのように最初に枠づけたかについて批判的でした。彼は、それが誇大されており、おそらく水部門のサイバーセキュリティリソースをより具体的な脅威から遠ざけたと述べました。例えば、Volt Typhoonのような中国支持のハッキンググループは、米国情報当局者が米国の重要なインフラに深く根を張っていると述べています。

「水処理施設および他の重要なインフラを保護する責任がある者は、有限の時間と注意を持っています」とワイリーは書きました。「ZionSiphonにどちらかを費やすことは、[Volt Typhoon]のようなそれらの環境への侵入の実証済みの履歴を持ち、はるかに深刻な懸念事項である脅威グループに費やすことが減ることを意味します。」