OTセキュリティブログ

NOZOMI NETWORKS SCADAGuardian にLockerGogaを食わせてみた

作成者: 株式会社テリロジー 技術統括部|Apr 3, 2019 12:00:00 AM

こんにちは。
NOZOMI NETWORKS製品を担当している木村と申します。

昨今産業製造業界で被害が出ているLockerGogaと呼ばれるランサムウェアを当社取り扱い製品のNOZOMI NETWORKS SCADAGuardianに食わせてみました。

参考リンク:

3月19日: ノルウェーの Hydroのアルミ製造工場が攻撃を受ける(1)


3月19日: ノルウェーの Hydroのアルミ製造工場が攻撃を受ける(2)

3月23日: Hexion と Momentiveの化学工場が攻撃を受ける

日本語の記事です。

NOZOMI NETWORKS SCADAGuardianとは

SCADAGuardianは、産業制御システムを可視化、監視するセキュリティ製品です。

SCADAGuardianの主な用途をご紹介いたします。

1. 資産管理

資産、ファームウェア/オペレーティングシステム、および脆弱性をリアルタイムで自動的に識別します。

2. 運用監視

L7までのすべてのレベルで通信を監視します。
メンテナンスおよびトラブルシューティング活動に役立つ証拠を収集します。
運用上の問題を識別するためのルール定義できます。

3. セキュリティモニタリング

シグネチャとアノーマリ検知(機械学習・AI)の仕組みを使ってサイバー攻撃検知します。 企業のセキュリティポリシーに従ったコンプライアンスチェックのためのカスタムルールを定義できます。SCADAGuardian にはLockerGogaを検出するシグネチャが3月20日に作成されています。

NOZOMI NETWORKS SCADAGuardianの導入構成

SCADAGuardianは、ネットワーク機器のSPAN/ミラーポートに接続してネットワークトラフィックをキャプチャし解析します。これによって、稼働中の産業制御ネットワークの通信に干渉せずにSCADAGuardianを導入できるメリットがあります。

今回のテストではSCADAGuardian が監視しているネットワークでLockerGogaの検体をダウンロードしてみます。

LockerGogaの検出

SCADAGuardianは、しっかりとLockerGogaを検出しアラートを発報しています。

通信も可視化されてわかりやすいですね。

まとめ

NOZOMI NETWORKS SCADAGuardianを使って昨今産業製造業界で猛威を振るっているLockerGogaを検出することができました。SCADAGuardianは産業制御システム向けのプロトコル解析で本領を発揮するわけですが、今回のようなランサムウェアを検出できることはやはり必要なことなのかと思います。

セキュリティ対策を行うためには保護対象の可視化と監視が不可欠です。
産業制御システムを守るSCADAGuardianをぜひよろしくお願いいたします。