PLCを標的にするSality

ほぼこもセキュリティニュース By Terilogy Worx

製品の製造現場で使われる機器の中にPLCというものがあります。
Programmable Logic Controllerです。
PLCはプログラムで定められた順序や条件などに従って設備や機械の動きを制御する装置です。

いろいろな業界での人材不足が問題となってきていますが、それはPLCの環境でも起こっているようです。
PLCの管理操作をしようとしたときに導入済みのPLCのパスワードが担当者の退職などでわからなくなってしまっているケースもあるかもしれません。

このような状況を想定したかのようなマルウェアが観測されています。

こんな風に進むイメージです。

  • PLCの利用環境でパスワードが必要なのにわからない
  • PLCのパスワード確認ツールを探す
  • PLCのパスワード確認ツールがあったので購入する
    今回のツールは、シーメンス、三菱、富士、パナソニック、LG、オムロンなど、12を超える電子機器製造会社の製品のロックを解除する機能がありました。
  • PLCのパスワード確認ツールを実行する
    パスワードは無事表示されます。
    これで担当者は無事PLCの管理操作を実施できます。
    ちなみにこのツールはデバイスのAutomation Directファームウェアの脆弱性(CVE-2022-2003として追跡)を悪用し、コマンドでプレーンテキストのパスワードを取得します。
  • 並行してマルウェアを設置する
    パスワード表示を実行しているときに同時にこっそりとマルウェアの設置が実施されます。
    設置されるマルウェアはSalityです。

Salityそのものは新しいものではありません。
2003年くらいから観測されているもので、機能を変化させながら現在まで来ています。
今回観測されているSalityはクリップボードを監視し、暗号資産ウォレットアドレスがあるとそれを書き変えるような機能をもっているものが確認されています。

通常PLCは製造現場で利用されこの機器の動作で工場が運転されます。
しかしPLCの導入される場所は工場だけでなく、エレベータ、自動ドア、遊園地のアトラクションなど身近な設備でも利用されます。
工場で利用される場合には生産の状況などによって適宜設定変更などが行われることが多いと思いますが、エレベータや自動ドアでは設定を変更する必要がある場面というのはあまり多くないかもしれません。

はたして工場などの現場でこういったパスワード確認ツールが購入されて使われるのかというと疑問なところもありますが、PLCの利用現場を広く考えるとこういったツールに頼りたくなる場面もあるのかもしれません。

パスワード確認ツールという表現を使うとそれは便利ツールに感じますが、言い方を変えればこれはパスワードクラックツールです。
そもそもとしてこういった類のツールには慎重になる必要があると再度認識する必要がありそうです。

参考記事(外部リンク):The Trojan Horse Malware & Password “Cracking” Ecosystem Targeting Industrial Operators
www.dragos.com/blog/the-trojan-horse-malware-password-cracking-ecosystem-targeting-industrial-operators/