何が見つかったのか

SentinelLABSが解析したfast16.sysは、コードを実行時にメモリ上で改ざんし、特定の高精度計算ソフトの結果だけを密かにずらすマルウェアである。自己拡散の仕組みも備えており、設備全体で「同じだけ間違った数値」を出させる設計思想が読み取れる。

注目点は、注入されたコードの中に標準的な実行フロー乗っ取りとは異なる、浮動小数点演算ユニット(FPU)向けの独立した計算ルーチンが含まれていたことだ。研究者はこれを「コードフロー攻撃ではなく、数学関数そのものを差し替える挙動」と評している。

ターゲットは誰か

パッチ規則から作成されたYARAシグネチャを大規模コーパスに照合した結果、ヒットしたのは10件未満。すべてが土木工学・物理学・物理プロセスシミュレーション向けの精密計算ツールだった。最も強く一致したのが2000年代半ばの三つの製品——衝突解析で知られるLS-DYNA 970、中国の構造設計CADPKPM、海洋・水理モデリングのMOHIDである。

LS-DYNAは過去、IranのJCPOA第T節違反疑惑や核兵器開発関連の計算モデリング報告で名前が挙がってきた経緯がある。SentinelLABSは「物理世界の計算に小さく系統的な誤差を入れ込むことで、研究プログラムを遅らせたり、設計された装置を時間をかけて劣化させたり、最悪のケースでは破滅的事故を招き得る」と指摘する。

なぜ「20年前」が今のニュースなのか

Stuxnet(2010年)以前から、産業ソフトの「数値」そのものを狙う攻撃概念が実装されていたという事実は、OT/CAEセキュリティの想定を一段引き上げる。劉慈欣『三体』に登場する、高エネルギー物理実験の結果だけを歪めるソフォンに重ねる論評があるのも、被害がログに残らない点に共通の不気味さがあるからだ。改ざんはアプリ起動後のメモリ上で起きるため、ファイル監査やハッシュ比較では検知が難しい。

💼 事業会社視点:これは自社にどう効くか

日本の製造業、特に自動車・重工・建材・プラント業界のCAE部門にとって、これは「ITセキュリティ」ではなく設計品質保証の問題として捉え直すべき事案である。LS-DYNAは衝突安全性評価で国内大手に広く使われており、計算結果が静かに数%ずれていれば、シミュレーション上は合格でも実車試験で原因不明の差異が出る——という現象を、もし過去に経験していれば、まず疑うべきリストに加わる。

役員・事業責任者が今期動くべきは三点。第一に、CAE・EDAソフトの実行環境を一般情報系から分離し、ハッシュではなくメモリ整合性ベースの監視を入れる。第二に、解析結果の第三者再現性検証(別環境・別ベンダー製品でのクロスチェック)を品質プロセスに組み込む。第三に、SaaS化したクラウドCAEを評価する際、ベンダーに対し「メモリ実行整合性をどう保証するか」を調達要件に明記する。受託開発・SIerは、製造業向け解析環境の構築でこの観点を提案に織り込めば、明確な差別化になる。安価なEPP一本で守れる領域ではない。

関連リンク