4半世紀以上にも及ぶマルウェアの歴史上で最も悪質なものと見なされた「スタックスネット」(Stuxnet)については、まだまだ謎が多い。ここであらためて、どのようなグループが開発に関与していたのか、本当は何を狙っていたのかについて検証を行ってみる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。ただし一部省略を行ったほか、見出しは編集部で作成した。
「スタックスネット」の本当の特徴は、専門家の知見を持った複数の個人やグループ(ハイテクについての専門的知識を持つ集団を「タイガーチーム」と呼ぶ)のコラボレーションによって作られた、ということである。ところが当時話題になったのは、「autorun.inf」(*1)のように動作する「.LNK」ファイル(*2)の脆弱性を通じて無差別的に拡散が起こったことだった。また、結果的にはこうした攻撃手法がウイルス対策ソフトのヒューリスティックエンジンによって検知される機会を高めることにもなった。だがはたして、どういった集団が関与していたのだろうか。それについては以下のような推測ができるかもしれない。
*1 編集部注「autorun.inf」は、USBメモリーをパソコンに装着するとフォルダーが開くなど、自動的に実行される仕組みのこと。
*2 編集部注 「.LNK」はショートカットファイルの拡張子で、大本のファイルへのリンクが貼られている。
- チームの中に、誰もマルウェア分野において特定の経験を持っている人物がいない(政府機関そのものによって、もしくは公共機関に準じた組織の協力によって組まれたのであれば、こうしたチーム編成も十分にあり得る)
- それまで隠密に開発作業が進められていたのだが、何らかの理由でその存在が明らかになった
- 誰かが何らかのメッセージをイランやその他の国に送って、ある組織や国の力量を誇示しようとした
だが結局のところ2016年になった時点でも、誰がメッセージの送信を指揮していたのか、誰がコードに手掛かりを埋め込んでいたのかを明らかにできるような証拠は挙がっていない。
犯人の特定が困難な理由
ESETのシニアリサーチフェローであるデイヴィッド・ハーレー(David Harley)は、米国内で突然結成された分析チームに引き入れられたことがある。このチームには「SCADA」(監視制御とデータ収集、調整プロセスを担う産業制御システム)側や法執行機関、そしてセキュリティベンダーらが参加していた。
ハーレーがあらためてコードを確認したとき、あたかも既存のSCADAシステムやシーメンス社の制御システムについての広範な知見を持っているように見えるところがあった。つまり、多くの不正コードを取り扱ってきた犯罪組織というよりも、「大手」のソフトウェア業者が作成したかのようであった。
しかし、時には政府や軍事部門から資金提供を受けることもあるような、フリーのクラッカー集団の仕業かもしれないし、このような分析チームが標的型攻撃に関与していることも十分にあり得る。いずれにせよ、メンバーは複数の領域にまたがる可能性が大いにある。
他方で、広く拡散したことによりマルウェアの存在が人目を引くこととなった。これはマルウェアの開発過程において、何らかの誤った判断や意思疎通があったことを浮き彫りにするものだ。
また、もう一つ考えられるのは、SCADAシステムの内部事情を十分に知り尽くしているグループという見方である。スタックスネットは、「PLC」(機械制御装置、別名シーケンサ)への攻撃としてはあまりにも防御やパッチが貧弱であり、制御も難しく、望んでいる情報や制御を得るのが難しい。また、実際の感染はイランにのみ集中していたが、西欧諸国でも感染が広がる恐れはあった。こうした結果は、(単に)パッチやアップデートのタイミングが不均一だったことが影響したにすぎない。
スタックスネットが示唆しているのは、少なくとも、大量の標的型(に準じた)攻撃を投じれば、かなりの効果が生まれるということである。ここで標的型に「準じた」としているのは、ペイロード(データ本体の内容)が明らかに制御システムを狙っているものの、マルウェアの拡散は無差別的だったからである。
概してマルウェアの開発者(犯罪者であれ国家主導であれ)の関心は、自己複製型のマルウェアの活用から、ほかの方法により拡散するトロイの木馬の活用(スパムで拡散するURLやPDF、「ゼロデイ」の侵害を行うMicrosoftのオフィス文書など)に移行しつつある。
ただし、標的が決まっており自己複製を行わないマルウェア(個別に作られ、カスタマイズされたソーシャルエンジニアリングと、カスタマイズされたコードを利用)は、かなり把捉が困難である。とはいえスタックスネットはすでに広く知られており、対策も十分にとられてきているため、ほとんど有用性はなくなっている。
本当の「問題」は何なのか?
しかし、スタックスネットを誰が、そしてなぜ作ったのかについては、すでに数多くの憶測が広まっている。これはいったい何を意味しているのだろうか。専門家やメディア関係者はマルウェアこそ問題の核心であるように見ているものの、本当の問題はマルウェアにはない、ということである。攻撃が広く知られるようになる前後で生じた標的の広がりとセキュリティの地位の変化こそ、問題なのである。
必要なのは、マルウェアの起源や標的についての憶測ではない。また、骨の折れるバイナリーの綿密な分析でもない。非常に際どいインストールが実行されたそのやり方と、セキュリティ対策がより広く必要となったということなのである。CNI(=重要国家インフラ)のセキュリティの状況について、国家の問題として、そして、グローバルな問題として何を今学ぶのか。あらゆるものがサイバー化する(サイバースパイ、サイバーテロ、サイバー戦争、サイバーヒステリー、等々)世界の中で、サイバーセキュリティ産業はどこに落ち着くのだろうか。
確かなものは「ターゲット」
もともとは核施設のウラン濃縮の機器が標的だった。デイビッド・オールブライト(David Albright)、ポール・ブラナン(Paul Brannan)、クリスティーナ・ウォルランド(Christina Walrond)各氏による論文「どのようにしてスタックスネットは、ナタンツ濃縮工場で1,000の遠心分離機を操作したのか」では、機器の詳細だけでなく機器の中でいったいどのように動作していたのかということさえ論じられている。科学・国際セキュリティ研究所のサイトには他の関係リンクもたくさんある。スタックスネットの標的にされた機器は、特定のCPUを装備した「S7 Simatic PLC」に接続されたシーメンス社の「WinnCC」のソフトウェアを実行するPC、「プロフィバス」(*3)通信モジュール、そして、807~1,210Hzの速度で稼働する特定の「周波数転換装置」といった、極めて独特な構成が必要なのである。
*3 編集部注 プロフィバス(Profibus)はコントローラーと各種機器とを接続するのに用いられるフィールドバスの標準規格の1つで、シーメンス社をはじめとしたドイツ企業・政府が共同開発した。
飛び交う憶測
こうした分析がなされても憶測が途絶えることは全くなかった。英国のニュース専門局(スカイニュース)では「自局が本当に危険に陥っている」のを明らかにし、スーパーウイルスが闇市場で売買されており、テロリストに使われる可能性もあるとしたが、もちろん実際に分析をしてみると、どこにも不正な意図はなかった。
とはいえ、どのような形式であれ「ウイルス」を所持していることは、次のような警告を含み得る。
- 警察の緊急通報システムをシャットダウンしてしまいかねない
- 病院のシステムや機器をダウンさせてしまいかねない
- 発電所をシャットダウンさせてしまいかねない
こうした主張は、PLCコードについて実際にしっかりとした分析を行った上でなされたものではない。これらは全て可能かもしれないが、もし実際に利用するのであれば、非常に広範囲にわたるコード作成が必要であり、さらに今となっては全く新しいゼロデイ攻撃をも必要とするのである。
スタックスネットがもたらした「新たなゲーム」
スタックスネットについて、米国の政治家のチャールズ・ジェター(Charles Jeter)氏は次のように冷静に主張する。
「スタックスネットの破壊的な脅威は、そのマルウェアの内部に見られるのではない。プロセスの全体と「概念実証」(*4) にある。このマルウェアの攻撃は、ソフトウェアコードの単なる寄せ集めではなく、諜報活動の先行事例となるべきものである」
*4 編集部注 本当にできるかどうかではなく、実際にできそうだということだけを示す証拠。
また、ドイツのセキュリティ専門家であるラルフ・ラングナー(Ralph Langner)氏によれば、「しかしながら最大の被害は、スタックスネット以降のマルウェア対策に要するコストの大幅な増加にある。それはスタックスネットの模倣攻撃を想定してもたらされた」ということだ。
本当にそうだろうか。想定される模倣コードがどのようなものかによるであろう。どのようなウイルス対策ソフトも、基本コードについては長期にわたって検知し続けているはずだから、単純にコストが上がるとは限らない。
スタックスネットの初期のバージョンは数カ月にわたって(最初のものは数年間にわたって)表沙汰にはならなかった。それは当初、拡散が極めて限定的だったからだ。特に産業セクターにおいては、マルウェアに対する厳しい防護が常に必要であるという認識もなく、しかも攻撃が可能であるとも思われていなかったからだ。しかも世間を騒がせたバージョンは、しばしば標的型の攻撃と見なされてきたものの、ペイロードの点から実際の標的があったとは言えても、拡散したという事実からはそうとも言えない。スタックスネットはイランに感染が集中した一方で、幅広く拡散したからである。
セキュリティ産業にとって本当の挑戦は、マルウェアの挙動を正確に解きほぐすことだった。大半のウイルス対策企業は、SCADAシステムの専門家に接触する方法を持っておらず、あるいはPLCコードの専門家への接触もできなかった。そして、どんな場合であれ、コードが標的について全てを明らかにするわけでもなかった。ESETの場合、ゼロデイ攻撃の分析に可能な限り集中し、そこから多くを学んだ。
幸運にも、マルウェアを検出するためにはパケット内のデータ(ペイロード)の全てを知る必要はない。しかし、スタックスネットは攻撃が複雑であったために、分析に要する時間が大幅に延びた。こうしたエクスプロイトの細かい分析は、特定のマルウェアを見つけようとするためには、たいていは不要であるが、ジェネリックな、そしてプロアクティブな検出の可能性を高めることには貢献した。類似した攻撃テクニックを使う将来のマルウェアからの影響を減らすことには、役に立ったのである。
参考情報
* 本記事はこの後半部の抄訳である。前半部は【トレンド解説】「産業機器を攻撃する標的型マルウェア「スタックスネット」を振り返る(その1)」として公開した。