サイバー戦争は始まっている スタックスネットの驚威

2010年6月、東ヨーロッパのベラルーシに拠点を置くインターネットセキュリティー企業、VirusBlokAda社がイラン国内のパソコンから新種の悪意あるプログラム(マルウェア)を発見した。専門家による解析が進むにつれて、このプログラムは極めて緻密に構築されており、原子力発電所などのハイテクインフラを攻撃の対象にしていることがわかってきた。サイバー兵器ではないのか?Stuxnet(スタックスネット)と名付けられたこのマルウェアが今、サイバーセキュリティーの世界に大きな影を落としている。

アメリカの大手セキュリティー企業、シマンテックの調査チームはスタックスネットの解析について、驚きと試行錯誤、苛立ちと検証に満ちた長い道のりだったと振り返っている。そして「これまでに経験した最も難易度の高い課題だった。コードは精巧かつ膨大、さまざまな分野における何人もの専門家を必要とした。バグはほとんど見つからなかった。これは平均的なマルウェアとしてはまれなことだ」とレポートに記している。スタックスネットはインターネット内で自己増殖するコンピューター・ワームだという。スタックスネットの脅威についてシマンテックのレポートをもとに検証してみよう。

インターネットセキュリティーの専門家たちが最初に驚きの声をあげたのは、このマルウェアがMicrosoft社のOS「Windows」の未知の脆弱性を4件も利用していたことだった。マルウェアの作成者たちはプログラムの穴を嗅ぎまわり、そこから不正な侵入や妨害を試みようと狙っている。OSメーカーは脆弱性が見つかるたびに修正を繰り返してきた。インターネットセキュリティーの歴史はプログラムの脆弱性をめぐる「いたちごっこ」の歴史のようなものだ。そうした中にあってこれまでに明らかになっていない脆弱性を4件も見つけ出し利用しているマルウェアが出現したことは衝撃的だった。「1件の未知の脆弱性が脅威に利用されるだけでも厄介ですが、未知の脆弱性が4件となればもう非常事態です。この脅威の特徴はそこにあります」とレポートは記している。

スタックスネットの作成者はWindowsを知りつくしている手強い相手との印象を解析チームの専門家は抱いたに違いない。しかし、その驚きはほんの序の口だった。解析を進めるうちに驚愕の機能が明らになっていった。パソコンに侵入したスタックスネットは、ジワジワと拡散しながら、時が来るのを待ちつつ静かに潜伏を続けるのだ。その間、パソコンに潜伏の痕跡を残したりしない。そればかりか台湾の半導体メーカー2社のデジタル署名を利用して、正当なプログラムとして偽装することにまんまと成功していたのだ。パソコンに潜伏しているスタックスネットが秘かに待つのはUSBメモリ。人為的に差し込まれたUSBメモリを介して、次なるターゲットを狙うのだ。そのターゲットとはドイツ・シーメンス社のWinCCなるソフトウェアだ。WinCCは、産業用制御システム向けのインターフェースとしての機能を果たし、MicrosoftのWindows上で動くものだ。

ViewsWireによると、シーメンス社は2010年7月、同社のSCADA(監視制御とデータ収集)管理システムがスタックスネットに脆弱であるとの警告を顧客向けに発している。産業用制御システムは、インターネットなど外部のネットワークシステムとは基本的には遮断をして構築されている。しかし、スタックスネットはUSBメモリという人為的な方法を利用することによって、産業用制御システムまで辿りつくよう緻密に計算されたマルウェアであることがやがて明らかになった。

シーメンスのWinCCに辿りついたスタックスネットは、そこでようやく様々な機能を発揮し始める。WinCCが稼働しているかどうかを調査し、インターネットに繋がる秘密の「裏口」をインストールし、その後、デンマークかマレーシアのサーバーにアクセスして命令を求めるのだ。産業用制御システムを狙ったマルウェアの出現は予想されていた脅威が現実のものになったことを意味したが、スタックスネットについて多くの専門家は、さまざまな情報を盗み出す産業スパイを目的としたマルウェアだろうと考えた。ところが、さらなる機能が判明し単に情報の窃取を目的としたマルウェアではなく、より具体的な攻撃意図をもったマルウェアであることがわかってきた。スタックスネットはサイバー兵器なのではないか、そんな疑念が専門家にもメディアにもよぎり始めた。

Windowsの脆弱性を利用してPCに感染したスタックスネットの次なる標的はドイツ・シーメンス社のソフトウェア、WinCCだった。WinCCはパイプラインや原子力発電所などの制御システムをつかさどるソフトウェア。制御システムを狙ったマルウェアの出現は専門家の間では予想されていたことだったが、スタックスネットの攻撃手法は予想を上回る緻密で精巧なものだった。

「ウィンドウズベースによるシステム監視およびプロセス制御を行うためのハイエンドスキャダ(SCADA)システムで、生産工程やインフラ・設備・機械等を視覚化して管理します」―これはシーメンス社のホームページに記載されているWinCCについての説明文だ。ドイツ・ミュンヘンに本社を置くシーメンス社は150年以上の歴史を持つグローバル企業。日本でも発電や通信設備を中心に数多くのシーメンス社製品が使われてきた。近年は情報通信、電力、交通、医療、防衛、家電、電子機器分野の製品製造からシステムソリューションまで幅広い事業展開を世界的に行っている。国内では、医療ITソリューション分野で亀田医療情報研究所とシーメンスメディカルソリューションズが2007年10月にシーメンス亀田医療情報システム株式会社を立ち上げている。

そのシーメンスがWinCCを狙ったマルウェアが出回っているとユーザーに注意を呼び掛けたのは2010年7月19日だった。WinCCのシステムに影響を及ぼすマルウェアがインターネットによって拡散しており、その詳細な分析を行っていると明かしたのだ。WinCCはSCADAと呼ばれる産業用制御システムのソフトウェアで、工場や発電、下水処理やパイプライン、ビル設備などハイテク化された一連の機器を視覚化して監視し制御するもの。従来のインターネットセキュリティーは家庭や職場のPCなど情報系システムのセキュリティーを主要な課題として取り組んできた。一方で、ハイテクインフラが進み工場や発電所、鉄道や航空など社会基盤そのものがハイテク化し、一部はインターネットにも直接、間接的につながるようになると、こうしたハイテクインフラへのサイバー攻撃、サイバーテロの可能性が専門家の間でささやかれるようになった。スタックスネットはそうした可能性を現実にする機能を備えた最初のマルウェアだった。

日本コンピューターセキュリティインシデント対応チーム協議会(CSIRT)の解説によれば、スタックスネットはハードコーディングされたパスワードの脆弱性を悪用して、SQLコマンド経由でシーメンス社のWinCCあるいはPCS7の稼働するWindowsシステムに感染する。その後、WinCCあるいはPCS7のデータベースに新たなテーブルを作成し、悪質な実行プログラムの書き込みを行い、実行するという。当初、スタックスネットの役割は産業用制御システムに侵入し、システムの設計データを盗むことにあるのではないかと考えられた。産業スパイを目的に作られたマルウェアと考えられたのだ。しかし、プログラムの解析が進むと、より具体的な攻撃目標を持ったマルウェアであることが明らかになっていった。

シマンテックによれば、産業用制御システムはプログラマブルロジックコントローラー(PLC)によって構成されているという。PLCとは、Windowsからプログラミングが可能なミニコンピューターのことで、通常はプログラマがWindows PCでコードを作成し、そのコードをPLCにアップロードすることで工場や発電所の機械類を制御している。ところが、スタックスネットが感染したWinCCは、スタックスネットが自身のコードをPLCにアップロードするという。WinCCを乗っ取ったスタックスネットは、コードをPLCにアップロードし機器の動作そのものを制御しはじめるのだ。

しかし、あらゆる機器や動作を支配するわけではないようだ。シマンテックの解析によれば、スタックスネットが制御するのはフィンランドか、イランのテヘランに本社を置く企業が提供する周波数変換ドライブ。周波数変換ドライプとは、モーターの速度を制御する電源のことで、周波数が高くなればなるほどモーターの速度が上昇するという。スタックスネットが攻撃の対象にしている周波数変換ドライプは非常に高速(807Hz~1210Hz)で動作するもので、極めて限定的に使用されているものだという。WinCCの脆弱性を悪用して制御システムに感染したスタックスネットはPLCコードを乗っ取り、周波数変換ドライプの動作の変更を開始する。出力周波数の変更は自動化システムの動作を妨害し、やがてシステムは正常に動作しなくなる…。

解析が進むにつれてスタックスネットは産業スパイ的なマルウェアではなく、特定の制御装置を対象にしたサイバー攻撃を意図したマルウェアだと専門家たちは考えるようになった。攻撃対象の制御装置は、Microsoft社のWindowsとシーメンス社の産業用制御システムWinCCを使い、フィンランドかテヘランに本社を置く企業によって提供された極めて高速で動作する周波数変換ドライプを使っているシステムだ。そのようなシステムを使っている産業施設とは何か?そして、これほど手の込んだマルウェアを作ったのは誰なのか?

イラン中部の町、ナタンズ。人々が暮らす地域から離れた山間部に低濃縮ウランを製造している核燃料施設がある。ISIS(科学国際安全保障研究所)がIAEA(国際原子力機関)のレポートとして明らかにしたところによると、同施設では2009年末から2010年にかけて約1000基の遠心分離機が取り換えられたり、撤去されたという。ISISはスタックスネットによる攻撃が原因との見方を示している。

ISISによれば2010年11月中旬には一時的にナタンズのすべての遠心分離機の稼働が停止した。ISISはこの稼働停止の原因についても、スタックスネットの攻撃によるものか、スタックスネットを駆除するためとの見方を示している。スタックスネットはイラン国内のパソコンから発見された。インターネットセキュリティー企業のシマンテックが2010年7月に発表したレポートによれば、スタックスネットはマレーシアにホストを置くコマンド&コントローラー(C&C)サーバーに接続を試みる。72時間にわたってC&Cサーバーを監視したところ、スタックスネットに感染したコンピューターから接続を試みる14000近くのIPアドレスを確認した。そのIPアドレスを国ごとに分けてみるとイランが58.58%と断トツに多く、次いでインドネシアの18.22%、さらにインドの8.31%だった。つまりスタックスネットに感染したコンピューターの多くはイランにあることを裏付けたのだ。シーメンス社のWinCCを使い高速に動作する特定の企業の周波数変換ドライプを備えたイラン国内の産業用制御システムと言えば原子力発電施設に他ならない。

「電子戦争がイランに仕向けられている」―サイバー攻撃を受けていることをイラン鉱工業省の情報技術部幹部が認める発言をしたことをイランの通信社が報じたのは2010年9月下旬だった。記事では3万台の産業用コンピューターがマルウェアに感染したことも明らかにした。10月2日にはヘイダル・モスレヒ情報相が声明を発表、「ウィルスのネットワークを完全に把握しており、妨害活動は阻止されるだろう」などと述べ、核開発をめぐり複数のスパイを逮捕していることも明らかにした。一方、Jamejam紙によれば、イランはスタックスネットを拡散させた人物も特定しているという。同紙の報道によれば「一部は産業施設を行き来していた外国人専門家」だという。また、この問題に対応する作業グループが設置され必要な対策が講じられているという。イランはスタックスネットによるサイバー攻撃があったことを認める一方で、スタックスネットがイランの原発に技術的に大きな問題を引き起こしてはいないと強調している。

イランでは2010年8月21日にイラン初の原子力発電所となるブシェール原発の燃料装着が開始された。ナタンズの核燃料施設で製造された低濃縮ウランを燃料にブシェール原発で原子力発電を行うのだ。iran japanese Radioによれば、燃料装着は2010年12月に終了、1000メガワットの発電量に向けて6カ月から9カ月間は発電量40%で稼働し、その後次第に発電量を75%から100%まで増加していくという。ブシェール原発は1974年にイラン原子力庁が設置されてドイツと建設契約が結ばれて着工したが、イスラム革命、イラン・イラク戦争で計画は大きく後退。1995年にロシアの協力で建設が再開され、その後もプロジェクトの遅延が繰り返されたものの2009年に試運転を実施し、いよいよ稼働の段階に入りつつある。イランが自国の技術の優位性を強調するのはブシェール原発に国家の威信がかかっているからだろう。ところが建設に協力してきたロシア専門家の見解は違っていた。「スタックスネットによってブシェール原発のコンピューターシステムに広範囲な被害が出ている」―原発を稼働させることへの懸念が表明されたのだ。


  

返信を残す