運用技術（OT）向けに特別に設計された新しいマルウェア「**ZionSiphon**」が、水処理および淡水化環境を標的にし、その運用を妨害しようとしています。研究者たちの分析によると、この脅威は油圧を調整し、塩素レベルを危険なレベルまで引き上げることが可能です。 IPターゲティングと、文字列に埋め込まれた政治的なメッセージに基づき、**ZionSiphon**はイスラエルを拠点とする標的に焦点を当てているようです。 ### 暗号化ロジックの不備 AIを活用したサイバーセキュリティ企業である**Darktrace**の研究者たちは、マルウェアの検証メカニズムに暗号化ロジックの不備を発見し、それが機能しない原因となっています。彼らは、将来の**ZionSiphon**のリリースでこの欠陥が修正され、攻撃においてその能力が発揮される可能性があると警告しています。 展開時、マルウェアはホストIPがイスラエルの範囲内にあるか、およびシステムに水/OT関連のソフトウェアまたはファイルが含まれているかを確認し、水処理または淡水化システムで実行されていることを保証します。  **Darktrace**は、XORの不一致により国検証のロジックが破損しており、ターゲティングが失敗し、ペイロードを実行する代わりに自己破壊メカニズムがトリガーされると指摘しています。 ### 潜在的な損害 もし**ZionSiphon**が起動した場合、塩素レベルを増加させ、欠陥と圧力を最大化することで、重大な損害を引き起こす可能性があります。 これは「IncreaseChlorineLevel()」という名前の関数を通じて行われ、既存の設定ファイルにテキストブロックを追加して塩素量を最大化し、プラントの機械システムによって物理的にサポートされる限り流量を最大化します。 「IncreaseChlorineLevel()」は、淡水化、逆浸透、塩素制御、および水処理OT/産業用制御システム（ICS）に関連するハードコードされた設定ファイルのリストをチェックします」と**Darktrace**は述べています。 「これらのファイルのいずれかが存在するとすぐに、固定されたテキストブロックを追加してすぐに戻ります。」 「追加されたテキストブロックには、「Chlorine_Dose=10」、「Chlorine_Pump=ON」、「Chlorine_Flow=MAX」、「Chlorine_Valve=OPEN」、「RO_Pressure=80」というエントリが含まれています。」 産業用制御システム（ICS）との対話の意図は、ローカルサブネットで**Modbus**、**DNP3**、および**S7comm**通信プロトコルをスキャンすることから明らかです。 しかし、**Darktrace**は**Modbus**については部分的に機能するコードしか見つけておらず、他の2つについてはプレースホルダーしかないことから、マルウェアがまだ開発の初期段階にあることを示唆しています。 ### USBによる拡散 **ZionSiphon**にはUSB拡散メカニズムも備わっており、リムーバブルドライブに自身を隠し「svchost.exe」プロセスとしてコピーし、クリックするとマルウェアを実行する悪意のあるショートカットファイルを作成します。  USB拡散は、セキュリティクリティカルな機能を管理するコンピューターがしばしば「エアギャップ」されている、つまりインターネットに直接接続されていない重要インフラシステムにおいて重要です。 現在のバージョンでは**ZionSiphon**は動作していませんが、その意図と潜在的な損害は懸念事項であり、両方を解き放つために必要なのは、わずかな検証エラーを修正することだけです。