SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

産業システムを攻撃するマルウェアの系譜――スタックスネットからインダストロイヤーまで

この記事をシェア

コンピューターウイルスの歴史は2010年代に入って、それまでとは全く異なるステージへと移った。それは、マルウェア「スタックスネット」が産業システムを攻撃した結果、現実社会に物理的な影響を及ぼしたからである。以下では、こうした攻撃の系譜をたどってみる。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

産業システムを攻撃するマルウェアの系譜――スタックスネットからインダストロイヤーまで

ここのところ6月になると、産業システムのセキュリティに関して重要な出来事が起こっている。

例えば、「スタックスネット」(Stuxnet)が発見されたと見なされている日は2010年6月17日である。このマルウェアは重要インフラを標的にした最初のサイバー攻撃の黒幕的存在だった。また、「ハベックス」(Havex)を利用して多数の企業が攻撃されたと報告されたのは2014年6月である。ハベックスはトロイの木馬型マルウェアであり、遠隔操作が可能でISC/SCADA(産業用制御システム/リモート監視・制御システム)からデータを収集した。

より直近では、ESETが「インダストロイヤー」(Industroyer)の分析結果を公開したのが2017年6月である。これは今、産業用制御システム(ICS)に対する新たな脅威と目されるマルウェアである。

かつてない複雑さを誇るワーム――スタックスネット

スタックスネットはベラルーシのITセキュリティ企業であるウイルスブロックアダ(VirusBlokAda)によって2010年6月17日に発見された(この日付は、そのマルウェアについて当該企業が情報を記述した日付であり、当時は別の名前で公表されていた)。

この攻撃は、これまでのマルウェアの中でも最も高度なものと考えられており、イランの原子炉プログラムを狙ったことで特に注目された。幾つかの落とし穴があり、プログラム内部にエラーもあったのだが、それでもナタンツ(Natanz、イランの原子炉施設)でのウランの濃縮プロセスを遅延させ、最終的には核兵器製造計画を遅延させることに成功した。

すなわちスタックスネットは、産業システムを標的として最初に実行されたマルウェアなのである。さらに、初めてPLC(プログラマブル論理制御装置)に対してルートキット(マルウェアが自身の存在を隠すために、そのコードの存在に関する情報を偽る、こっそりとした活動を実施する技術のこと)が活用された。マルウェアがモーター回転速度を改変するよう働き掛けても監視システムには気付かれなかったのである。

この攻撃には幾つかの段階がある。最初は、スタックスネット自体がコンピューターワームとして無差別にネットワーク上に感染を拡大させる。その際には、当時は知られていなかった脆弱性(すなわちゼロデイ)を突き、特定のSCADAシステムを標的とした特別なプログラムを送り付け、そのデバイスのプログラムを上書きした。

するとローターの速度が変化し、ウラン濃縮を行うための遠心分離機に損傷を起こす。速度が極端に大きく変化し、かつ、突如この操作を行うと、振動やゆがみが生じてしまう。公表された推計によると、約1,000台の遠心分離機が破壊されたとのことである。現場では簡単に入れ替えることができなかったため、結果的にはウラン濃縮の度合いが本来あるべきものより低いものになってしまった。

また、こうした一連の攻撃の記述で過小評価されている別のフェーズが存在する。それは、攻撃者は遠心分離機の速度を変更する前に、過度の圧力を加えることでローターを破壊しようと試みた、という点である。

ウラン濃縮用のガス遠心分離機(天然ウランをガス状の六フッ化ウランに変え、ウラン235とウラン238を分離させ、ウラン235の濃度を上げる)は、圧力の処理に非常に注意を要する。通常はほぼ真空の状態で動作しているため、圧力が増加すると濃縮の効率が下がってしまう。そして、大きな圧力増加がなされた際には、ローターに強い圧力が加わることになる。初期のスタックスネットの亜種は、完全にこうした仕組みを掌握していたのである。

攻撃者はこうしたプロセスの途中でコントローラー内のプロセス値の操作を行っている。その操作された値に基づいてプログラムが実行された結果、攻撃者が意図する結果が引き起こされたのである。すなわち、本来のオペレーターにはシステムから標準的な正常値が報告されているのにもかかわらず、遠心分離機内の圧力はあるべき値より大幅に上昇していたのであった。

しかし、攻撃者が望んでいたほどの被害が出なかったため、速度を変化させるプログラムの第二弾を作成するに至った(この経緯については本記事の本筋から離れるため今回は取り上げない)。また、攻撃者はマルウェアの監視網に引っ掛からないように十分に注意を払っていたにもかかわらず、突如それが行き届かなくなり、最終的にはそのマルウェアが攻撃に失敗した理由は、おそらく今後も分からないままであろう。

国際政治の観点からは、この一連の攻撃が成功したと言えるのかどうかは、今後も十分に議論がなされなければならないが、詳細は諜報部の機密文書として保管されていることを考慮すると、こうした評価は情報開示が可能となるときまで待つほかないであろう。

ただし、サイバーセキュリティの観点からは、スタックスネットは比類のない大事件である。そして、産業システムのセキュリティに関連する全ての人に対する警鐘となるべきものである。ラルフ・ラングナー(Ralph Langner)氏が「遠心分離機の破壊」(To Kill a Centrifuge)と題した有名な論文の中で記しているように、「攻撃は非常に特殊な環境に向けられたものであったが、攻撃の戦術や技術は必ずしも特殊なものではなく、ほかの標的に対しても十分適用可能なものである」からである。

スタックスネットから4年後――機密情報を収集する攻撃ハベックスの登場

2014年6月、産業システムを攻撃する別のマルウェアが検知された。遠隔操作でISC/SCADAシステムからデータを収集できるトロイの木馬、ハベックスである。数多くの企業、特に欧米の産業アプリケーションや機器のメーカーが標的とされた。

水飲み場攻撃」とも呼ばれるその攻撃は、明らかに、標的メーカーのハードウェアを利用しているインフラを今後攻撃するために必要な機密情報を収集しようとしていた。

それに続くような攻撃は検知されてはいない。しかし、2014年に起こったこの攻撃は、サイバー犯罪者が産業システムを攻撃できるツールと情報を持っていることを分からしめるには十分な出来事だった。それは、その犯罪者が国家的な活動に基づいて動いていようと(スタックスネットは明らかにこのケース)、金銭的な目的で動いていようと、同じことである。

スタックスネットから7年後――マルウェアによる電源切断

2017年6月12日、ESETはインダストロイヤーという、スタックスネット以降最大規模の、産業制御システムへの脅威に関する分析結果を公表した

インダストロイヤーは、2016年12月にウクライナの首都であるキエフの送電網を停止した可能性がある。すなわち、自動的に送電網を攻撃する能力を持つ最初のマルウェア(ブラックエナジー(BlackEnergy)もウクライナの送電網の攻撃に利用されたが、実際の停電は手動で実行された)である。ほんの少し手を加えるだけで、ヨーロッパ・中東・アフリカ地域に加え、おそらく米国を含むそのほかの地域の電力システムにも甚大な被害を与えることが可能になる。また、水道やガスなどの公共施設や交通制御システムなどの各種重要インフラを標的として改変されることも十分可能である。

産業システム保護の必要性

スタックスネットが導入した手法を十分理解する(詳細についてはESETのホワイトペーパー「スタックスネットの詳細調査(Stuxnet under the Microscope)」(英文)を参照)ことは、産業システムが直面するリスクを評価するのに必要不可欠である。そもそも、産業システムの基礎となる技術はインターネット接続を前提としておらず、適切なセキュリティが考慮されていないまま設計されたものである。

また、ネットワークからパソコンなどの機器を切り離すエアーギャップ、マルウェア対策技術、セキュリティパッチなど、ITセキュリティの世界で有効とされている緩和戦略を、産業システムの各種環境にそのまま適用するのは極めて難しいのが現状である。

上記の状況を踏まえると、ここで非常に不安の多い結論に到達せざるを得ない。産業用制御システム(ICS)のインフラの幾つかの領域では、ICSを標的とした脅威の高度化が顕在化し始めている。そして、その脅威は、その作成者もしくはオペレーターのスキルレベルが高ければ高いほど、深刻なセキュリティ脅威となっているのである。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!