2012年8月15日、サウジアラビア国営石油会社のSaudi Aramcoは、社内の情報ネットワークの一部がウイルスに感染したため、社内ネットワークを外部のネットワークから切り離したと発表しました。
同日に「正義を貫く刀」と名乗る集団が、「Saudi Aramcoの3万台のコンピュータを破壊した」との犯行声明を出しました。
原油生産に影響は生じなかったものの、10日後、Saudi Aramcoは、社内のコンピュータ3万台が感染したこと、感染の拡大を防ぐため社内ネットワークをすべて切り離した上でマルウェアを除染したこと、Webサイトが復旧していないこと、犯行の背景は不明であることを発表しました。
その後、カタル第2位の国営石油会社Ras Gasでも同じマルウェアの感染が広がり、業務システムがダウンしたことが発表されました。
Saudi Aramcoを攻撃したマルウェアはW32.Disttrack (Shamoon :シャムーン) と名付けられました。
このマルウェアは、侵入先のコンピュータ上のファイルを破壊し、マスターブトレコードを書き換えるプログラムでした。
マルウェアの中に同年4月にイラン石油省を攻撃したFameというマルウェアのコンポーネントの一部が使われていることや、破壊成功時に攻撃者へ完了報告を行なうことも明らかになりました。
犯行声明を出した「正義を貫く刀」がどんな集団か判明していませんが、犯行声明中の「Saudi Aramcoの3万台のコンピュータを15日午前11時8分に破壊した」という表現が事実と一致しており、犯行を行なったグループに間違いないとされています。
アメリカは、一連の攻撃の背後にイランがいるのではないかとの疑念を表明。
当時のLeon Panetta国防長官は「シャムーンは民間部門を標的としたこれまででもっとも破壊的なサイバー攻撃」であったと述べています。
CSISのJames Lewis氏は、Saudi Aramcoに対する攻撃に、イランの関与が疑われているとコメント。
いずれの事件についてもイランは関与を否定していますが、多くの專門家が、シャムーンによる攻撃が2010年のイランの核関連施設に対するスタツクスネツ卜の攻撃に対する反撃であるとの見方を表明しています。
Saudi Aramcoの発表によると、このサイバー攻撃による生産への影響はなかったとのことですが、シャムーンのようなウイルスにより、製造生産設備などを制御するシステムが破壊されてしまうこともあり得ます。
サイバー攻撃によって、必要不可欠なインフラが麻痺状態に陥りかねないという脅威は現実のものといえるでしょう。
企業内でも、より強力なウイルスの脅威にさらされる可能性をセキュリティリスクに入れ、対策を練る必要があるといえるでしょう。
関連記事
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。