TRITON / TRISIS.

2017 年にサウジアラビアの石油化学プラントで発見された、Schneider 製 Triconex 安全計装システムを標的とするマルウェア。ロシア関連のアクターに帰属とされる。 サイバーセキュリティの OT / ICS / IoT カテゴリに属します。

2017 年にサウジアラビアの石油化学プラントで発見された、Schneider 製 Triconex 安全計装システムを標的とするマルウェア。ロシア関連のアクターに帰属とされる。

TRITON (TRISIS、HatMan とも呼ばれる) は、安全計装システム (SIS) を狙うものとして初めて公開されたマルウェアです。2017 年、サウジアラビアの石油化学プラントのエンジニアリングワークステーション上で発見され、Schneider Electric の独自プロトコル TriStation を介して Triconex SIS コントローラと通信していました。攻撃者は SIS ファームウェアにカスタムペイロード「inject.bin」をアップロードし、安全ロジックの改変や危険状態の誘発を狙ったとされます。ロジックの不整合によりコントローラがフェイルセーフ停止し、プラントが停止したことでキャンペーンが露呈しました。米当局は TRITON をロシア国営研究機関 TsNIIKhM に公的に帰属しました。本件を契機に、業界は SIS と BPCS の厳格な分離と SIS 向け侵入検知の導入を加速させました。

TRITON / TRISIS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: TRITON, TRISIS, HatMan。