2009~10年、特定の標的を狙う巧妙なワーム「スタクスネット」がイランの核開発を妨害するために使用され、実被害も発生した。インターネットに接続していない産業用制御システムがUSBメモリーを介して感染・発症。この攻撃がきっかけで国家間サイバー戦争が幕を開けた。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
スタクスネット(Stuxnet)は、ATP型のコンピューター・ワームである。おそらく、イランの国家政策である核開発を妨害し遅延させる目的で使用され、実際に、2009年から2010年にかけて、イラン国内の核燃料施設でウラン濃縮用遠心分離機を破壊する、という物理的実害を引き起こした。
産業用制御システムがハッカーたちに狙われたことも、マルウェアでサイバー戦争を仕掛ける試みも以前から存在したが、産業用制御システムをスパイし、PLCルートキットによって自らの工作活動をモニターから隠しつつ最後に破壊する、そういうマルウェアは、史上初めてであった。スタクスネットは、この目的の成功により、新しいタイプの国家間サイバー戦争の幕を開けたと言える。
スタクスネットはまた、それまで比較的安全だと信じられていた、インターネットに接続していない産業用制御システムにもUSBメモリーを介して感染・発症することから、産業用システムのセキュリティ管理のあり方を根本から考え直させた、という点でも衝撃的であった。
攻撃の流れ
スタクスネットはまず、インターネット経由かUSBストレージを介して、コンピューターに感染する。何らかの仕方ですでに感染しているコンピューターから後者を通じて、感染が広がることもある。
次に、スタクスネットが実際に発症する標的は実に限定的であり、第一にOS がWindowsであり、第二にそのOS上で動作し、ドイツSiemens社のSCADAシステムに対面するインターフェース・ソフトウェアが同じくSiemens社製 PCS7/WinCC(STEP7)であること、そして第三にそのSCADAシステムにおいて物理的に周波数変換装置を制御するPLCであることが条件となっている。
具体的には、期間を置いて、周波数を変え回転速度を一定の時間、通常よりも上げたり下げたりすることで、アルミニウム・チューブに負荷を掛けて膨張させ、それらを相互に接触させて、最終的に遠心分離機そのものを破壊する、という方法であった。
スタクスネットは感染するとまず、これらの標的を探しに拡散伝播し、それらが見つからない場合は休眠状態となる。このように標的がピンポイントであるということは、逆に、個人ユーザーや一般企業のPCに対してはこのワームが無害であることを意味しており、実際にその種の被害は報告されていない。
マルウェア作成者
スタクスネットの作成者については、このワームのコードの複雑さが示す、注ぎ込まれた技術力の高さと、普通ならぜいたくすぎて同時には使わない4種ものゼロデイ脆弱性を全て盛り込むなど、攻撃準備の用意周到さからして、何らかの国家的規模の組織が後ろ盾になっている、という見方が有力である。
また被害の6割がイランに集中していること、イランの核施設が実害を受けたことなどから、この国の核開発に対して懸念を持つ米国(ブッシュ政権からオバマ政権に引き継がれた)とイスラエルが共同で開発した(「オリンピック作戦」2012年6月1日付『ニューヨークタイムズ』)という説が、もちろん両国は否定しているものの、ある程度の説得力を持っている。
スタクスネット関連年表
2005年 開発に着手か。当時イランは、ウラン濃縮施設を建設中だった。
2007年11月 イランの核プログラムがスタクスネットの一亜種による攻撃を受ける。
2009年6月22日 最初のバージョン(Stuxnet.a)。名称、ドメイン名、IPアドレスなど、侵入したマシンの履歴をマルウェア本体に保存するため、そこから、イランの重工業向けオートメーションシステム製造会社Foolad Technic Engineering Co (FIECO) が被害に遭ったと推定される。搭載のスパイウェアモジュールによるイラン原子力産業のデータ収集が目的か。FIECOは、2010年にも、第三のバージョンによって再攻撃される。
2009年7月7日 禁止物質のイランへの不法輸入を米司法省に疑われていた、産業オートメーション企業Neda Industrial Groupが感染。同じくイランの産業オートメーション企業Control-Gostar Jahed Companyで、感染が止まる。
2009年11月~2010年1月 イランのイスファハン州ナタンズのウラン濃縮施設で1,000台(全体の10%)の遠心分離機が破壊される。
2010年1月 イランの核科学者でテヘラン大学物理学教授が、爆弾テロの標的となり、死亡。
2010年3月 作成者が拡散の遅さに業を煮やしたのか、根本的に改善された第二バージョン(Stuxnet.b)が作成される。核爆弾部品のイラン側受け取り手との疑いもある、産業オートメーション会社Behpajooh Co. Elec & Comp. Engineeringが、2009年6月の旧バージョンによる攻撃に続いて、このバージョンの攻撃を受ける。同社は、5月にも再攻撃される。
2010年4月24日 イランの大手金属加工企業Mobarakeh Steel Companyが被害に遭う。
2010年4月 マイナーチェンジを受けた第三のバージョン。製造年月日、2010年2月3日付。
2010年5月11日 イランのウランプログラムの大黒柱の一つ、IR-1ウラン濃縮用遠心分離機の大手開発元Kalaye Electric Coが攻撃される。
2010年6月17日 ベラルーシの情報セキュリティ会社VirusBlokAda社が、スタクスネットの存在を初めて報告。アップデートのプログラミングエラーという偶発的事故のせいで、本来とどまっているはずのワームが、遠心分離器に接続したナタンズのエンジニアのPCへと渡り、彼がそれを自宅でインターネットにつないだため、ワームが当初の標的の外に出て、拡散したのである。
2010年7月15日 ジャーナリストのブライアン・クレブス氏がスタクスネットについてブログに書く。これは、このワームについて最初に広く読まれた記事となった。同日、スタクスネットが関わっているとみられるDoS攻撃が、産業システムセキュリティの2大メーリングリストのサーバーに対して実行され、発電所や工場の重要な情報源が遮断された。
2010年9月 イランの専門家たちが、遠心分離機のパフォーマンス前年比30%減はスタクスネットによる意図的攻撃のせいだ、との確信を強める。
2010年11月29日 当時のイラン大統領マフムード・アフマディーネジャード氏が、ナタンズのウラン濃縮用遠心分離機の制御装置がコンピューター・ウイルスの被害を受けたことを、初めて公式に認める。同日、テヘランで同時多発爆弾テロがあり、標的となったイランの量子物理学研究者が死亡し、イラン国防省高官の核科学者が大けがを負った。
2011年9月1日 スタクスネットから派生した「Duqu」が発見される。2007年に開発されたTildedプラットフォームを共有しているが、目的は、キーストロークやシステムの情報取得にあり、それらの情報を将来のスタクスネット式サイバー攻撃に使うため、と分析された。
2012年1月11日 ナタンズのウラン濃縮施設責任者が、2010年の殺人と全く同様の爆弾テロで死亡。
2012年5月 スタクスネットから派生した「Flame」が発見される。初期バージョンのスタクスネットが持つUSBメモリー経由で感染を伝播させるコードが、Flameとほぼ同一。
2012年6月24日 侵入したスタクスネットが標的を見つけられずに休眠状態になった場合、この日付で自己消去するようプログラムされていた。