スタックスネットとは何ですか?

サイバーセキュリティに関してニュースになるのは通常、データ侵害です。これらの事件は多くの人々に影響を及ぼし、データ侵害の被害を受けた企業にとっては最悪のニュースとなっています。ましてや、自分自身を守ることができない企業のデータ侵害の急増を予告する新たなゼロデイ エクスプロイトについて耳にすることはそれほど頻繁ではありません。ユーザーに直接影響を与えないサイバーインシデントの話を聞くことはあまりありません。Stuxnet は、そのまれな例外の 1 つです。

寄生虫の侵入

Stuxnet はマルウェアの一種の名前です。具体的には虫です。ワームとは、感染したデバイスから別のデバイスに自動的に伝播するマルウェアを指す用語です。これにより、1 回の感染がより大規模な感染を引き起こす可能性があるため、急速に蔓延する可能性があります。これは Stuxnet を有名にしたものでもありませんでした。それほど多くの感染症を引き起こさなかったため、感染がどれほど広範囲に広がったかもわかりませんでした。Stuxnet を際立たせたのは、そのターゲットとそのテクニックでした。

Stuxnet はイランの核研究施設で初めて発見されました。具体的にはナタンツの施設です。これに関してはいくつかの点が際立っています。まず、ナタンツはウラン濃縮に取り組んでいた原子力施設でした。次に、施設がインターネットに接続されていなかった。この 2 番目のポイントにより、システムがマルウェアに感染することが困難になり、通常は「エアギャップ」として知られています。エアギャップは通常、インターネット接続を積極的に必要としない影響を受けやすいシステムに使用されます。アップデートのインストールは確かに困難になりますが、状況が直面する脅威も減少します。

この場合、Stuxnet は USB スティックを使用してエアギャップを「ジャンプ」することができました。正確なストーリーは不明ですが、一般的な選択肢は 2 つあります。古い話では、USB スティックが施設の駐車場に密かに落とされ、好奇心旺盛な従業員が差し込んだというものでした。最近の話では、施設で働いていたオランダ人のモグラが USB スティックを差し込んだか、他の人にやらせたというものです。それで。USB スティック上のマルウェアには、Stuxnet で使用された 4 つのゼロデイ エクスプロイトのうちの最初のものが含まれていました。このゼロデイは、USB スティックが Windows コンピュータに接続されると自動的にマルウェアを起動しました。

Stuxnetのターゲット

Stuxnet の主なターゲットはナタンツ核施設とみられる。他の施設も影響を受けており、イランでは世界全体の感染者数のほぼ60％が発生している。ナタンツは、核施設としての中核機能の 1 つがウラン濃縮であるため、エキサイティングな施設です。軽濃縮ウランは原子力発電所に必要ですが、ウランベースの核爆弾を製造するには高濃縮ウランが必要です。イランは原子力発電所で使用するためにウラン濃縮を行っていると述べているが、濃縮がどの程度行われているか、またイランが核兵器の製造を試みているのではないかと国際的な懸念が高まっている。

ウランを濃縮するには、U234、U235、U238 の 3 つの同位体を分離する必要があります。U238 は天然に最も多く存在しますが、原子力や核兵器の使用には適していません。現在の方法は遠心分離機を使用しており、回転により異なる同位体が重量に基づいて分離されます。このプロセスはいくつかの理由で遅くなり、時間がかかります。重要なことに、使用される遠心分離機は非常に敏感です。ナタンツの遠心分離機は 1064Hz で回転しました。Stuxnet により、遠心分離機の回転は最大 1410 Hz、下は 2 Hz まで速くなったり遅くなったりしました。これにより遠心分離機に物理的ストレスが発生し、致命的な機械的故障が発生しました。

この機械的故障は意図された結果であり、おそらくイランのウラン濃縮プロセスを遅らせるか停止させることが目的であったと考えられる。これにより、Stuxnet は、国家の能力を低下させるために使用されたサイバー兵器の既知の最初の例となります。また、これは、現実世界でハードウェアの物理的な破壊をもたらす、あらゆる形式のマルウェアの初めての使用でもありました。

Stuxnet の実際のプロセス – 感染

Stuxnet は、USB スティックを使用してコンピュータに導入されました。このウイルスは、Windows コンピュータに自動的に接続されると、ゼロデイ エクスプロイトを使用して自身を実行します。主要なターゲットとして USB スティックが使用されました。ナタンツの核施設はエアギャップがあり、インターネットに接続されていませんでした。USB スティックは施設の近くに「落とされて」、気付かない従業員によって挿入されたか、施設内のオランダ人痴漢によって持ち込まれたかのいずれかです。この詳細は未確認の報告に基づいています。

このマルウェアは、USB スティックが挿入されると、ゼロデイ脆弱性を利用して Windows コンピュータに感染しました。この脆弱性は、アイコンをレンダリングし、リモートでコードが実行されるプロセスを標的としていました。重要なのは、この手順では、USB スティックを挿入する以外のユーザーの操作は必要ありませんでした。このマルウェアにはルートキットが含まれており、オペレーティング システムに深く感染し、ウイルス対策ツールなどのあらゆるものを操作してその存在を隠すことができました。盗まれたドライバー署名キーのペアを使用して、それ自体をインストールすることができました。

ヒント:ルートキットは特に厄介なウイルスであり、検出して削除するのが非常に困難です。彼らは、ウイルス対策ソフトウェアを含むシステム全体を変更して、ウイルスの存在を検出できる状況に陥ります。

その後、マルウェアは、ローカル ネットワーク プロトコルを通じて、接続されている他のデバイスに自身を拡散しようと試みました。一部の方法では、以前に知られていたエクスプロイトを利用していました。ただし、その 1 つは Windows プリンタ共有ドライバのゼロデイ脆弱性を利用していました。

興味深いことに、このマルウェアには、デバイスが 3 つの異なるデバイスに感染すると、他のデバイスへの感染を無効にするチェックが含まれていました。ただし、これらのデバイス自体は、それぞれ別の 3 台のデバイスに自由に感染することができます。2012年6月24日にマルウェアを自動的に削除するチェックも含まれていた。

Stuxnet の実際のプロセス – 悪用

感染が広がると、Stuxnet は感染したデバイスがターゲットである遠心分離機を制御できるかどうかを確認しました。Siemens S7 PLC またはプログラマブル ロジック コントローラーが遠心分離機を制御しました。次に、PLC は、Siemens PCS 7、WinCC、および STEP7 産業用制御システム (ICS) ソフトウェアによってプログラムされました。インストールされている 3 つのソフトウェアのいずれも見つからなかった場合、マルウェアがターゲットに影響を与えない場所で見つかるリスクを最小限に抑えるため、マルウェアは何もせずに休止状態になります。

ICS アプリケーションがインストールされている場合、DLL ファイルに感染します。これにより、ソフトウェアが PLC に送信するデータを制御できるようになります。同時に、3 番目のゼロデイ脆弱性は、ハードコードされたデータベース パスワードの形式で、アプリケーションをローカルで制御するために使用されます。これらを組み合わせると、マルウェアは PLC のプログラミングを調整し、そのことを ICS ソフトウェアから隠すことができます。すべてが正常であることを示す誤った測定値が生成されます。これは、プログラミングを分析し、マルウェアを隠し、スピン速度を報告するときに行われ、実際の影響を隠します。

その後、ICS は Siemens S7-300 PLC にのみ感染しますが、その場合でも、PLC が 2 つのベンダーのいずれかの可変周波数ドライブに接続されている場合にのみ感染します。感染した PLC は、駆動周波数が 807Hz ～ 1210Hz のシステムのみを実際に攻撃します。これは従来の遠心分離機よりもはるかに高速ですが、ウラン濃縮に使用されるガス遠心分離機の典型的な速度です。PLC は、感染していないデバイスが実際の回転速度を認識できないようにするための独立したルートキットも取得します。

結果

ナタンツの施設では、遠心分離機のスパンが 1064Hz であるため、これらの要件はすべて満たされています。感染すると、PLC は 1410Hz まで 15 分間遠心分離機を通過し、その後 2Hz まで低下し、その後 1064Hz まで再び回転しました。これが 1 か月にわたって繰り返し行われたため、ナタンツ施設にある約 1,000 台の遠心分離機が故障しました。これは、回転速度の変化によりアルミニウム製遠心分離機に機械的ストレスがかかり、部品が膨張して互いに接触し、機械的に破損したために起こりました。

この時期に約 1,000 台の遠心分離機が廃棄されたとの報告がありますが、故障がどれほど壊滅的なものになるかについての証拠はほとんどありません。損失は​​機械的なもので、一部は応力や共振振動によって引き起こされます。この障害は、非常に高速で回転する巨大で重いデバイスでも発生しており、おそらく劇的なものでした。さらに、遠心分離機には有毒、腐食性、放射性物質である六フッ化ウランガスが含まれていたと考えられます。

記録によると、このワームはその任務において効果的でしたが、100% 効果的ではなかったことが示されています。イランが所有していた機能的な遠心分離機の数は、4,700 台から約 3,900 台に減少しました。さらに、それらはすべて比較的早く置き換えられました。ナタンツの施設は、感染が発生した2010年に前年よりも多くのウランを濃縮した。

ワームも期待したほど繊細ではありませんでした。遠心分離機のランダムな機械的故障に関する初期の報告は、前兆が Stuxnet の原因となったとしても、疑わしいものではないことが判明しました。Stuxnet はより活発であり、Windows コンピュータが時折クラッシュするため、通報を受けたセキュリティ会社によって特定されました。このような動作は、メモリのエクスプロイトが意図したとおりに機能しない場合に見られます。これは最終的に、故障した遠心分離機ではなく、Stuxnet の発見につながりました。

帰属

Stuxnet の帰属は、もっともらしい否定のベールに包まれています。しかし、犯人は米国とイスラエルの両方であると広く考えられている。両国はイランと政治的に強い相違があり、イランが核兵器を開発しようとしているのではないかと懸念し、同国の核開発計画に深く反対している。

この帰属に関する最初のヒントは、Stuxnet の性質から得られます。専門家らは、5 ～ 30 人のプログラマーからなるチームがこれを書くのに少なくとも 6 か月かかっただろうと推定しています。さらに、Stuxnet は 4 つのゼロデイ脆弱性を利用しましたが、これは前例のない数です。コード自体はモジュール化されており、拡張が簡単でした。それは産業用制御システムをターゲットにしていましたが、その後は特に一般的ではありませんでした。

検出のリスクを最小限に抑えるために、信じられないほど具体的に標的を定められていました。さらに、アクセスが非常に困難だったであろう盗難された運転証明書も使用されました。これらの要素は、非常に有能で意欲があり、資金が豊富な情報源を示しており、それはほぼ確実に国民国家の APT を意味します。

米国の関与に関する具体的なヒントには、NSA の一部であると広く信じられている Equation グループが以前に起因すると考えられていたゼロデイ脆弱性の利用が含まれます。イスラエルの参加についてはあまりよく知られていませんが、モジュールごとのコーディング スタイルの違いは、少なくとも 2 つの貢献者の存在を強く示唆しています。さらに、日付に変換するとイスラエルにとって政治的に重要となる数字が少なくとも 2 つある。イスラエルはまた、スタックスネットが配備される直前にイランの核兵器の推定スケジュールを調整し、疑惑のプログラムへの差し迫った影響を認識していることを示した。

結論

Stuxnet は自己増殖するワームでした。これはサイバー兵器の初めての使用であり、現実世界に破壊を引き起こしたマルウェアの最初の例でした。Stuxnetは主にイランのナタンツ核施設に対して、ウラン濃縮能力を低下させる目的で配備された。これは 4 つのゼロデイ脆弱性を悪用しており、非常に複雑でした。すべての兆候は、このプログラムが国民国家 APT によって開発されたことを示しており、米国とイスラエルに疑惑がかかっています。

Stuxnet は成功しましたが、イランのウラン濃縮プロセスには意味のある影響を与えませんでした。また、平時であっても、物理的損害を引き起こすために将来的にサイバー兵器が使用される可能性への扉も開かれました。他にも多くの要因がありましたが、サイバー セキュリティに対する政治、国民、企業の意識を高めることにも役立ちました。Stuxnet は 2009 年から 2010 年にかけて導入されました。