23日目:攻殻機動隊から学ぶStuxnet


初めまして!RCCに入って3か月のニュービーことTakumiです。

最近ますます寒くなってきましたね。キャンパスがある滋賀はもとより、地元の京都は盆地ということもあって地獄のような寒さに襲われています。そんな中でNo暖房、Noコタツな生活が耐えられるはずもなく、先月から我が家には灯油ファンヒータとコタツが鎮座するようになりました。

 

さて、先日そのコタツでみかんを食べながらNetflixで「攻殻機動隊ARISE」を見ていたところ、次のようなセリフを耳にしました。

サイトー「スターターらしきログはあるが…」
草薙少佐「ではハックではない、ウィルスだ」
サイトー「だがシーケンスには何も出ねぇ」
草薙少佐「自己消滅するStuxnet型だ」

                     攻殻機動隊ARISE第4話より

おおなんかよく分からんが少佐かっこいい!でもStuxnetってなんだ?そう思った僕は早速Stuxnetについて調べてまとめてみました。

1.Stuxnetとは?

Stuxnet(スタックスネット)はWindows上で動作するコンピュータワームの一つで、2009年に活動を開始し、2010年6月に初めて観測されました。ワームとは自身を複製して他のシステムに拡散するマルウェアのことで、トロイの木馬とかが有名ですね。

このStuxnet、まず何が凄いかというと、インターネットから隔離されたシステム(つまりスタンドアローンのコンピュータ・システム)にもUSBを経由して感染できるというところです。イメージはハマダラカに媒介されるマラリア原虫。

それの何が凄いん?と思われるかもしれませんが、感染したコンピュータに接続したUSBを挿すだけで感染できるということは、それまでネット経由の攻撃に比較的安全だろうと考えられていた産業用制御システムにも実害を与えることが可能になったということなのです。実際、イランのある企業のシステムが被害を受けました。

そしてStuxnetは、インターネットに繋がっていない時といる時とで振る舞いを変えます。インターネットに繋がっていない時は身を潜めて潜伏し、繋がった瞬間に活性化する、といった具合です。この有機的で高度な攻撃ベクトルを持つプログラムは、特定の標的に攻撃する際絶大な効果を発揮しました。

他にもMicrosoft Windowsの未知のセキュリティホールを4件も利用していたり、侵入したマシンの履歴を自身に保存したり、自分の痕跡を消して自己消滅したり、などなど。やだなにこのマルウェア、しゅごい…。

2.Stuxnetの標的

Stuxnetがサイバーセキュリティ業界に激震を起こした理由は何もその性能だけではなく、実際に被害を受けた標的にあります。セキュリティソフトNortonで有名なSymantec社によると、2009年から2010年にかけてStuxnetは5つの標的を攻撃したそうです。

最初の標的は、重工業企業向けにオートメーションシステムを製造しているイランのFoolad Technic Engineering Co(FIECO)だと言われています。

お次がイランの産業オートメーションを手がける企業Behpajooh Co.Elec&Comp.Engineering。Stuxnetはこの時、大量のパソコンを保有し世界中の企業ともつながっているイランの大手金属加工企業Mobarakeh Steel Companyのドメインにも感染し、結果として世界中に感染が蔓延することになりました。

この後に攻撃を受けた2つの企業も、イランの産業オートメーションを手掛ける大手企業だったことが判明しています。

 

そして最後の一つが、イランのエスファハーン州ナタンズに所在する核燃料施設のウラン濃縮用遠心分離機でした。イランの核兵器製造施設です。

国家間サイバー戦争の幕開け イラン核施設を攻撃したマルウェア「Stuxnet」(2009~10年)
マルウェア情報局 国家間サイバー戦争の幕開け より

 

もう薄々「あっ…(察し)」となられた方が多いとは思いますが、その通り。Stuxnetの標的はイランという国家そのもので、Stuxnetを作成したのはアメリカとイスラエルの情報機関でした!やっぱりな!

つまりStuxnetはイランの核開発を妨害するために行われた国家間サイバー戦争の一端だったということです。なんだか攻殻機動隊の世界みたいだなぁ。

3.まとめ

サイバー攻撃とは無縁だと思われ続けていた制御システムの安全神話は、Stuxnetの登場によって無残にも打ち砕かれました。しかし同時に、大きな教訓を得ることもできたはずです。

Stuxnetによる被害を防ぐには、脆弱性を極力排除する技術力と、脆弱性があっても攻撃に耐えうるシステムを構成する技術力、システムの異常をいち早く検知する観察力や、情報収集のための組織力(実際今でもStuxnetを知らない制御システム運用者も多いのだとか)などが要求されるとされています。多方面にアンテナを張って、腕を磨き続けなさいということですね。

何より、自分の技術力と能力を信じることが大切なのでしょう。草薙少佐も言ってるでしょ?「自分のゴーストに従え」って。

 

というわけで、以上がStuxnetに関する簡単なまとめです。雑な終わり方になりましたが、お楽しみいただけたのなら幸いです。ではでは~

 

※以下がStuxnetに関する出来事を時系列順にまとめたものです。

2005年 多分この時期に開発された。当時イランは、ウラン濃縮施設を建設中だった。

2007年11月 イランの核プログラムがスタックスネットの亜種による攻撃を受ける。

2009年6月22日 最初のバージョン(Stuxnet.a)が完成。侵入したマシンの履歴をマルウェア本体に保存するため、そこからイランの重工業向けオートメーションシステム製造会社Foolad Technic Engineering Co (FIECO) が被害に遭ったと考えられる。

2009年7月7日 禁止物質のイランへの不法輸入を米司法省に疑われていた産業オートメーション企業Neda Industrial Groupが感染。

2009年11月~2010年1月 イランのイスファハン州ナタンズのウラン濃縮施設で1,000台(全体の10%)の遠心分離機が破壊される。

2010年1月 イランの核科学者でテヘラン大学物理学教授が爆弾テロの標的となり、死亡。

2010年3月 根本的に改善された第二バージョン(Stuxnet.b)が作成される。産業オートメーション会社Behpajooh Co. Elec & Comp. Engineeringが攻撃を受ける。

2010年4月24日 イランの大手金属加工企業Mobarakeh Steel Companyが被害に遭う。

2010年4月 第三バージョン完成。

2010年5月11日 イランのウランプログラムの大黒柱の一つ、IR-1ウラン濃縮用遠心分離機の大手開発元Kalaye Electric Coが攻撃される。

2010年6月17日 ベラルーシの情報セキュリティ会社VirusBlokAda社が、スタックスネットの存在を初めて報告。

2010年11月29日 当時のイラン大統領マフムード・アフマディーネジャード氏が、ナタンズのウラン濃縮用遠心分離機の制御装置がコンピューター・ウイルスの被害を受けたことを、初めて公式に認める。同日、テヘランで同時多発爆弾テロがあり、標的となったイランの量子物理学研究者が死亡し、イラン国防省高官の核科学者が大けがを負った。

2011年9月1日 スタックスネットから派生した「Duqu」が発見される。

2012年5月 スタックスネットから派生した「Flame」が発見される。

2012年6月24日 侵入したスタックスネットが標的を見つけられずに休眠状態になった場合、この日付で自己消去するようプログラムされていた。
カテゴリー: 2018年度, アドベントカレンダー パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です