テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術統括部

NOZOMI NETWORKS SCADAGuardian にLockerGogaを食わせてみた

エンジニア部隊へのお問い合わせはこちらまで


こんにちは。
NOZOMI NETWORKS製品を担当している木村と申します。

 

昨今産業製造業界で被害が出ているLockerGogaと呼ばれるランサムウェアを当社取り扱い製品のNOZOMI NETWORKS SCADAGuardianに食わせてみました。

 

参考リンク:

3月19日: ノルウェーの Hydroのアルミ製造工場が攻撃を受ける(1)


3月19日: ノルウェーの Hydroのアルミ製造工場が攻撃を受ける(2)

 

3月23日: Hexion と Momentiveの化学工場が攻撃を受ける

日本語の記事です。


 

NOZOMI NETWORKS SCADAGuardianとは

SCADAGuardianは、産業制御システムを可視化、監視するセキュリティ製品です。

SCADAGuardianの主な用途をご紹介いたします。

 

1. 資産管理
 資産、ファームウェア/オペレーティングシステム、および脆弱性をリアルタイムで自動的に識別します。

 

2. 運用監視
 L7までのすべてのレベルで通信を監視します。
 メンテナンスおよびトラブルシューティング活動に役立つ証拠を収集します。
 運用上の問題を識別するためのルール定義できます。

 

3. セキュリティモニタリング
 シグネチャとアノーマリ検知(機械学習・AI)の仕組みを使ってサイバー攻撃検知します。 企業のセキュリティポリシーに従ったコンプライアンスチェックのためのカスタムルールを定義できます。SCADAGuardian にはLockerGogaを検出するシグネチャが3月20日に作成されています。

 

NOZOMI NETWORKS SCADAGuardianの導入構成

SCADAGuardianは、ネットワーク機器のSPAN/ミラーポートに接続してネットワークトラフィックをキャプチャし解析します。これによって、稼働中の産業制御ネットワークの通信に干渉せずにSCADAGuardianを導入できるメリットがあります。

 

f:id:terilogy-tech:20190403155632p:plain

 

今回のテストではSCADAGuardian が監視しているネットワークでLockerGogaの検体をダウンロードしてみます。

 

LockerGogaの検出

SCADAGuardianは、しっかりとLockerGogaを検出しアラートを発報しています。

通信も可視化されてわかりやすいですね。

 

f:id:terilogy-tech:20190403155721p:plain

 

 

f:id:terilogy-tech:20190403155821p:plain

 

まとめ

NOZOMI NETWORKS SCADAGuardianを使って昨今産業製造業界で猛威を振るっているLockerGogaを検出することができました。SCADAGuardianは産業制御システム向けのプロトコル解析で本領を発揮するわけですが、今回のようなランサムウェアを検出できることはやはり必要なことなのかと思います。


セキュリティ対策を行うためには保護対象の可視化と監視が不可欠です。
産業制御システムを守るSCADAGuardianをぜひよろしくお願いいたします。

 

お問い合わせはこちらまで
エンジニア部隊に直接つながります
コンタクト