Windowsの未修整の脆弱性を悪用した標的型攻撃とは何か――。特徴と対策を探る。
(このコンテンツはマカフィーの「McAfee Labs Blog」からの転載記事です。一部を変更しています。)
最近、Windowsのショートカットファイルに存在する脆弱性を狙った「Stuxnet」というマルウェアの存在が明らかになりました。このStuxnetには、制御システムや電力会社を狙った初のマルウェアという大きな特徴があります。Stuxnetの作者が、脆弱性に関する知識、ハッキングのプラグマティズム、物理的機密情報漏えいの潜在性を組み合わせて利用し、重要インフラシステムを狙った攻撃を実行したのは明らかといえます。本ブログでは、今回のStuxnet攻撃の持つ意味とその防御方法について解説します。
Stuxnet攻撃が有する最先端のテクノロジーには、興味深い点が2つあります。1つは、このマルウェアが、未修正のWindowsの脆弱性を利用して実行され、ドライバ感染するということ。もう1つは、このマルウェアの構成要素に、通常のマルウェアとは異なりデジタル署名された、ルートキットのように動作する2つのドライバが含まれていることです。
この2点は、メディアでも大きく取り上げられました。本ブログでは、危険と化したシステムに対する潜在的な影響、さまざまな攻撃デバイスが組み合わされた複雑性、そのことが今回の攻撃対象となったエネルギー分野にとって何を意味するのか、にポイントを当て解説します。
以上の動作による潜在的影響は、どのようなものでしょうか。
標的は、シーメンスのSCADA(Supervisory Control and Data Acquisition)システムであるSIMATIC WinCCです。このソフトウェアは、公共事業の産業用制御システム向けHMI(Human Machine Interface:ヒューマンマシンインタフェース)としての機能を果たしています。HMIは、発電所の主要な発電・送電設備を運転する制御システムのグラフィック情報をホストして表示します。
また、HMIは工場の制御システムの健全性、稼働時間、全体的な運転状況を常時監視します。ほとんどの場合、HMIは制御システム間のプロセスフローを管理するよう設定されています。HMIのグラフィック情報が表示するのは、コンピューターネットワーク図のような一種のマップです。このStuxnetは、重要インフラのマップをサイバー犯罪者に渡す恐れがあります。
制御システムとITシステムの間には、さまざまな違いがあります。ITシステムには、可用性と並行して機密性を実現するという方針がある一方で、制御システムは、達成困難な99.99999%という可用性を実現するよう設計されたものです。通常、制御システムはITシステムとは別個のネットワークに置かれ、完全に区別されたチームが管理しています。
従来の変更管理プロセスは、365日24時間の可用性というニーズが常にあるため、制御システム環境に置かれており、冗長になりがちです。その結果、パッチ更新、セキュリティ更新、修正プログラム、回避策などが必ずしも最優先されない場合があります。
今回の例では、シーメンスはハードコーディングされたパスワードをアプリケーションで使用して、SQLデータベースにアクセスできるようにしていました。同社は、これらのパスワードを変更するとシステムの可用性が低下すると警告していました。多くのセキュリティ研究者が、この明らかなセキュリティ侵害について改善を勧告してきましたが、この環境での可用性のニーズを考えると、それは非常に一般的なことです。
米エネルギー省(DOE)、米標準技術局(NIST)、そのほか多数の民間団体が、ITシステムと制御システムの領域間にあるギャップを埋めるよう要請してきました。そして、米エネルギー規制協議会(National Energy Regulatory Council:NERC)のような、ITプロセスおよびコンプライアンスに関する組織を設けることによって対処するようになりました。
しばらくの間、制御システム保護のニーズについて業界で討議されてきましたが、脅威はまだそれほど発生していませんでした。制御システムの領域で発生したイベントは、攻撃の実証を目的とした行為、偶発的な事象、不満を抱いている従業員による脅威、具体的な事象によって標的にされた攻撃のいずれかですが、フォレンジックの実施に限度があったため、意図された効果は検証されませんでした。
これが変化し始めたのは2009年でした。4月7日にNERCが公表した内容では、海外のエンティティからターゲットにされたマルウェアのインスタンスが、配電網に取り残されたという警告を発しています。もう1つ別の事例を紹介します。
Stuxnetの目的は、米国の配電網を危険にさらし、重要な詳細情報を悪意のあるエレメントに送信することだと推測されます。その実例については、過去何度も目にしたことがありますが、Windowsでのコード実行を可能にするゼロデイ脆弱性を検出するには高度な専門知識が必要です。制御システムの攻撃方法を理解するというのは、ただならぬ量の高度な知識を実証することなのです。
一般的なSCADAシステムでは、イーサネットポートおよびUSBデバイスを介したネットワークアクセスと物理的アクセスに限界があることを、攻撃者は知っています。さらに攻撃者は、シーメンス社制御システムに関して、「SCADAシステムは制御システム領域でどのような役割を果たすか、またハードコーディングされた初期設定パスワードを検出してデータベースにアクセスする際にはどのような役割を果たすか」という点にも精通するようになっています。つまり、攻撃者の知識はさらに高度なものになった、といえるでしょう。
最終的に、攻撃者は証明書ベースのクレデンシャルを偽造します。要するに、これは異常なほど巧みな攻撃なのです。
ではどうすれば、この攻撃から身を守れるでしょうか。McAfeeは、この特別な脅威に対処するさまざまなツールを用意しています。具体的には、この攻撃を3つの要素に分け、それぞれの解決策に取り組まなくてはなりません。
1つ目の要素はマルウェアです。McAfeeは、DATバージョン6046でStuxnetワームを検出できるようにしており、この脅威に関連するコンポーネントを検出するだけでなく、隔離します。また、McAfee Application Control(旧Solidcore)製品は、署名更新の必要なく、この脅威による感染、実行、ペイロードを防ぎます。
2つ目の要素は脆弱性です。McAfeeはWindows脆弱性の検出機能を持っており、2010年7月16日にVulnerability Managerのチェックを行いました。McAfee Vulnerability Managerを使用すると、Stuxnetに弱いシステムを検出できます。
3つ目の要素はデバイスです。主な感染メカニズムの1つであるUSBドライブは、制御システム界で広く普及しています。この攻撃デバイスは、周辺セキュリティ対策を回避することを可能にするものです。McAfee Device Controlなどのツールを使用することで、PCをロックダウンして、マルウェア対策技術を内蔵した認証済みUSBデバイスのみに対応できるようになります。これにより、全体的な感染度合が減少します。
エネルギー業界にとって、これは何を意味するでしょうか。エネルギー供給会社や電力会社は、今回の攻撃の巧みさに脅え、組織的で高度な持続型の脅威を恐れています。今回のStuxnet攻撃は、エネルギー業界の安全確保の重要性を、まさに浮き彫りにしています。また、制御システムセキュリティとITシステムセキュリティのギャップを埋めていくことが、今後のセキュリティベンダーに課せられた課題といえるでしょう。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.