2014年12月末、ドイツ政府の情報セキュリティ庁（BSI）からサイバーセキュリティに関する報告書が公表された。BSIは、もともとはドイツ政府の主要インテリジェンス機関（諜報機関）である連邦情報局（BND）の暗号部だったが、2011年に切り離されて独立の機関になっている。その報告書によると、ドイツの製鋼所のネットワークがサイバー攻撃を受け、溶鉱炉の一つが甚大な被害を被ったという。攻撃者はいわゆる標的型電子メールを送りつけ、制御システムを乗っ取った。その結果、プラントの部品が壊れ、溶鉱炉が正常に停止せず、被害が生じたという。

　BSIの分析によれば、プラントに属する特定の個人が狙われ、ソーシャル・エンジニアリングの手法を使って電子メールを開くように細工されていた。メールは一見すると組織内から来たように見えたという。攻撃者たちはプラントの従業員の情報システム（電子メールやウェブなどの情報処理用のシステム）を乗っ取るだけでなく、プラントを管理するための制御システムにも成熟し、制御システムの一部を乗っ取ることに成功した。BSIは被害企業の名前も場所も公表していない。攻撃者の素性も動機も分かっていない。

　インターネットに直接つながる情報システムを乗っ取ることはそれほど難しいことではない。もはや日常的にそうした被害は出ている。しかし、制御システムの多くは、直接はインターネットにつながっていないことが多い。システムのアップデートや遠隔操作のためにつながっていることもあるが、そもそも制御システムは汎用性のあるプログラムではなく、専門の知識がなければ操作するためのプログラムを書くのは難しい。まして、それを遠隔で動かすのは至難の業である。

■制御システムを狙った三つのマルウェア

　ドイツの溶鉱炉に対してどんなマルウェア（悪意のある不正ソフトウェア）が使われたのかは不明だが、もしこれが新しいマルウェアによるものだとすれば、ドラゴス・セキュリティの共同創設者であるロバート・M・リーは、物理的な制御システムに影響を与えたサイバー攻撃用のマルウェアとして四つ目だと指摘する。他の三つは、第一に、スタックスネット（Stuxnet）、第二に、ハヴェックス（HAVEX）、第三に、ブラックエネジー（BlackEnergy）である。