ZionSiphon:イスラエルの水道・淡水化プラントを標的にしたOTマルウェア、塩素量と水圧の改ざんを企図

この記事は約9分で読めます。

2026年4月16日、サイバーセキュリティ企業のDarktraceが、イスラエルの水処理・海水淡水化システムを標的とするOT(Operational Technology)マルウェア「ZionSiphon」の技術分析を公開しました。このマルウェアは、権限昇格・持続性確保・USB経由の伝播といった汎用的な手法に加え、ICS(産業制御システム)プロトコルのスキャン、塩素投入量と逆浸透膜圧力の設定ファイル改ざんといったOT固有のサボタージュ機能を備えています。

Darktraceの分析では、現行のサンプルは開発途中ないし意図的に機能制限されたビルドと評価されており、国チェック用のXOR暗号ロジックにバグがあるため実質的にサボタージュ機能が発動しない状態です。しかし、マルウェアの構造と意図は明確であり、Darktraceは「修正は軽微であり、将来のバージョンで容易に修正されうる」と警告しています。

本記事では、Darktraceの一次レポートに基づいてZionSiphonの技術詳細を整理し、OT領域における政治的動機のマルウェア開発トレンドの中に位置づけます。

基本情報

項目 内容
マルウェア名 ZionSiphon(バイナリ内の関数名「ZionSiphon()」に由来)
発見・分析 Darktrace
VirusTotal初検出 2025年6月29日
公開日 2026年4月16日(Darktrace公式ブログ)
標的 イスラエルの水処理・海水淡水化施設のOTシステム
政治的メッセージ Base64エンコードでイラン・パレスチナ・イエメン支持、「0xICS」を名乗る
OT能力 Modbus(一部機能)、DNP3/S7comm(プレースホルダー段階)
現行状態 開発途中 or 意図的に無効化されたビルド(国チェックのXORロジックにバグ)
VirusTotal SHA-256 07c3bbe60d47240df7152f72beb98ea373d9600946860bad12f7bc617a5d6f5f

標的:イスラエル水インフラの名指しリスト

ZionSiphonのバイナリには、イスラエルの水インフラを構成する具体的な施設名がハードコードされています。なお、The Hacker Newsの報道では、VirusTotalへの初回登録(2025年6月29日)がイランとイスラエルの12日間戦争(2025年6月13〜24日)直後であった点が指摘されています。

  • Mekorot:イスラエル国営水道会社
  • Sorek、Hadera、Ashdod、Palmachim:イスラエルの主要な海水淡水化プラント群
  • Shafdan:同国中央部の下水処理・再利用施設

さらに、ハードコードされたイスラエル国内のIPv4アドレス範囲(2.52.0.0〜2.55.255.255、79.176.0.0〜79.191.255.255、212.150.0.0〜212.150.255.255等)を用いてジオフェンシングを実行し、イスラエル国内の端末でのみペイロードが有効化されるよう設計されています。対象外の端末ではSelfDestruct()が起動し、持続性レジストリキーの削除、ログ記録、バッチファイルによる自身の反復削除が行われます。

攻撃チェーンの構造

1. 権限昇格と持続性確保

ZionSiphonは起動時に管理者権限の有無を確認し、権限がなければPowerShellの Start-Process -Verb RunAs で昇格した状態で再起動します。持続性の確保は、HKCU\Software\Microsoft\Windows\CurrentVersion\Run レジストリキーに「SystemHealthCheck」エントリを登録し、LocalApplicationData配下の隠しパスに svchost.exe として自身をコピーする方法で行われます。正規のWindowsプロセス名を流用することで、ユーザーや基本的な監視ツールの目を逃れる意図が読み取れます。

2. 標的検証:地理 × 環境のデュアルチェック

マルウェアは2段階の検証を行います。

まず「IsTargetCountry()」関数がローカルIPアドレスをハードコードされたイスラエル国内のIPv4レンジと照合します。次に「IsDamDesalinationPlant()」関数が、実行中のプロセス名(DesalPLC、ReverseOsmosis、ChlorineCtrl、WaterPLC、SeaWaterRO等)やディスク上のディレクトリ・設定ファイル(C:\Program Files\Desalination、ROConfig.ini、ChlorineControl.dat等)を検索し、水処理・淡水化環境であることを確認します。

両条件を満たして初めてサボタージュ機能が有効化される設計です。ただし、Darktraceの分析では、国チェック関数にXOR暗号ロジックのバグがあり、ハードコードされた比較文字列「Nqvbdk」と EncryptDecrypt("Israel", 5) の出力が一致しないため、正しいイスラエル国内のIPレンジでも常にfalseを返す状態になっています。

3. OTサボタージュ:設定ファイル改ざんとICSスキャン

標的検証をパスした場合、ZionSiphonはまず「IncreaseChlorineLevel()」関数でローカルの設定ファイルを改ざんします。DesalConfig.ini、ChlorineControl.dat等のファイルに、以下のパラメータを追記します。

Chlorine_Dose=10
Chlorine_Pump=ON
Chlorine_Flow=MAX
Chlorine_Valve=OPEN
RO_Pressure=80

これらの値は、塩素投入量を最大化し逆浸透膜の圧力を危険水準に引き上げることを意図しています。これらの値がプラント制御システムに読み込まれた場合、飲料水の安全性や設備の物理的な安全に直接影響を及ぼす可能性があります。

設定ファイルが見つからない場合は、ネットワークベースのOT探索に切り替えます。ローカルの /24 サブネットをスキャンし、以下のポートでICSデバイスを探索します。

  • TCP 502(Modbus):最も実装が進んでおり、Read Holding Registersリクエストの送信、レジスタ値の読み取り、塩素関連パラメータへの書き込みコマンド発行が可能。動的スキャンで対象レジスタが特定できない場合はハードコードされたModbus書き込みフレームにフォールバックする
  • TCP 20000(DNP3):プロトコル形式のバイトプレフィックスのみで、有効なコマンドを構成するには不十分
  • TCP 102(S7comm):DNP3同様、プレースホルダー段階

4. USB経由の伝播:エアギャップ越えの意図

ZionSiphonはリムーバブルメディア経由の伝播機能も備えています。USB上に svchost.exe として自身をHidden/System属性でコピーし、既存のファイルを偽のショートカット(.lnk)に置換します。ユーザーが通常のファイルに見えるショートカットをクリックすると、マルウェアが実行されます。

この手法は、インターネットに直接接続されていないOTネットワークへの侵入、すなわちエアギャップ越えを意図した可能性を強く示唆します。Darktraceは「過去のICS標的型キャンペーンを想起させるリムーバブルメディア伝播テクニック」と評しています。

政治的メッセージと脅威アクター

バイナリにはBase64エンコードされた2つの政治的メッセージが埋め込まれています。

  • 「In support of our brothers in Iran, Palestine, and Yemen against Zionist aggression. I am “0xICS”.」
  • 「Poisoning the population of Tel Aviv and Haifa」(変数名「Dimona」に格納。Dimonaはイスラエルのネゲブ砂漠に位置し、シモン・ペレス・ネゲブ原子力研究センターの所在地)

これらの文字列はマルウェアの動作には使用されておらず、攻撃者の動機を示すメッセージとしてのみ機能しています。Darktraceは、脅威アクターの成熟度について「開発ビルドか、低成熟度の脅威アクターの仕事」と評価しています。

「未完成だから安全」ではない

Darktraceの分析は、現行サンプルが開発途中であることを明確に指摘しつつも、その脅威性を過小評価していません。同社のNathaniel Jones氏(VP, Security & AI Strategy, Field CISO)は次のように述べています。

「ZionSiphonはOT脅威ランドスケープの変化を示しています。産業プロセスを標的にできるマルウェアは、もはやStuxnetやIndustroyerで見られたような高度にリソースを持つ国家プログラムの専売特許ではありません」

実際、国チェックのXORバグは修正が軽微であり、DNP3やS7commのプレースホルダーも将来の開発で実装される可能性があります。BleepingComputerも「現行バージョンで機能しないことと、将来のリリースで修正されうることは別の問題」と指摘しています。

OT/水道セクターの防御者への推奨事項

  • ICSネットワークの異常行動監視:サブネット内でのModbus(TCP 502)、DNP3(TCP 20000)、S7comm(TCP 102)への予期しないスキャン活動を検出する
  • 設定ファイルの改ざん監視:ICS関連ディレクトリ内の設定ファイル(.ini、.dat等)への予期しない書き込みをリアルタイムで検出する
  • USBメディアポリシーの強化:エアギャップ環境への最大の侵入経路であるリムーバブルメディアについて、接続制限や自動実行の無効化を徹底する
  • レジストリ監視HKCU\...\Run 配下の「SystemHealthCheck」等の不審なエントリを監視する
  • IT/OT境界の可視化:IT環境のエンドポイント監視だけでなく、OTネットワークのプロトコルレベルの異常検知を導入する

実務への含意:OTサボタージュの民主化

ZionSiphonが示している構造的な変化は、OT標的型マルウェアの「民主化」です。従来、ICSを直接操作するマルウェア(Stuxnet、Industroyer、TRITON等)は、高度な技術力と情報収集能力を持つ国家支援型のアクターに限られていました。ZionSiphonは、コモディティマルウェアの手法(PowerShell権限昇格、レジストリ持続性、USB伝播)にOT固有ロジック(Modbusスキャン、設定ファイル改ざん)を組み合わせることで、低成熟度のアクターでもOTサボタージュ機能の開発に近づきつつあることを示しています。

ZionSiphonが使用するModbus、DNP3、S7commプロトコルは、イスラエルの水インフラに限らず、世界中の重要インフラで広く使われています。Darktraceが指摘する通り、ある地域向けに開発されたツールは、標的リストの書き換えだけで他の地域にも転用可能です。水道・電力・ガス等の重要インフラを運用する組織は、自組織が直接の標的でなくても、同種の手法への防御態勢を点検しておく価値があります。

ソース

一次ソース

  • Darktrace「Inside ZionSiphon: Darktrace’s Analysis of OT Malware Targeting Israeli Water Systems」(2026-04-16公開)
  • VirusTotal: 07c3bbe60d47240df7152f72beb98ea373d9600946860bad12f7bc617a5d6f5f(初検出 2025-06-29)

参考情報

  • The Hacker News(2026-04-20)
  • SecurityWeek(2026-04-17)
  • BleepingComputer(2026-04-16)
  • Security Affairs(2026-04-17)
  • Hackread(2026-04-17)

コメント

タイトルとURLをコピーしました