TRITON / TRISIS
TRITON / TRISIS とは何ですか?
TRITON / TRISIS2017 年にサウジアラビアの石油化学プラントで発見された、Schneider 製 Triconex 安全計装システムを標的とするマルウェア。ロシア関連のアクターに帰属とされる。
TRITON (TRISIS、HatMan とも呼ばれる) は、安全計装システム (SIS) を狙うものとして初めて公開されたマルウェアです。2017 年、サウジアラビアの石油化学プラントのエンジニアリングワークステーション上で発見され、Schneider Electric の独自プロトコル TriStation を介して Triconex SIS コントローラと通信していました。攻撃者は SIS ファームウェアにカスタムペイロード「inject.bin」をアップロードし、安全ロジックの改変や危険状態の誘発を狙ったとされます。ロジックの不整合によりコントローラがフェイルセーフ停止し、プラントが停止したことでキャンペーンが露呈しました。米当局は TRITON をロシア国営研究機関 TsNIIKhM に公的に帰属しました。本件を契機に、業界は SIS と BPCS の厳格な分離と SIS 向け侵入検知の導入を加速させました。
● 例
- 01
TriStation プロトコル経由で Triconex MP3008 に悪意あるペイロードをアップロードした事例。
- 02
本来は危険状態でプラントを停止すべき SIS ロジックを書き換えて停止を起こさせないようにする試み。
● よくある質問
TRITON / TRISIS とは何ですか?
2017 年にサウジアラビアの石油化学プラントで発見された、Schneider 製 Triconex 安全計装システムを標的とするマルウェア。ロシア関連のアクターに帰属とされる。 サイバーセキュリティの OT / ICS / IoT カテゴリに属します。
TRITON / TRISIS とはどういう意味ですか?
2017 年にサウジアラビアの石油化学プラントで発見された、Schneider 製 Triconex 安全計装システムを標的とするマルウェア。ロシア関連のアクターに帰属とされる。
TRITON / TRISIS からどのように防御しますか?
TRITON / TRISIS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
TRITON / TRISIS の別名は何ですか?
一般的な別名: TRITON, TRISIS, HatMan。