Stuxnet攻撃がエネルギー業界にもたらした意味
Windowsの未修整の脆弱性を悪用した標的型攻撃とは何か――。特徴と対策を探る。
(このコンテンツはマカフィーの「McAfee Labs Blog」からの転載記事です。一部を変更しています。)
最近、Windowsのショートカットファイルに存在する脆弱性を狙った「Stuxnet」というマルウェアの存在が明らかになりました。このStuxnetには、制御システムや電力会社を狙った初のマルウェアという大きな特徴があります。Stuxnetの作者が、脆弱性に関する知識、ハッキングのプラグマティズム、物理的機密情報漏えいの潜在性を組み合わせて利用し、重要インフラシステムを狙った攻撃を実行したのは明らかといえます。本ブログでは、今回のStuxnet攻撃の持つ意味とその防御方法について解説します。
Stuxnet攻撃が有する最先端のテクノロジーには、興味深い点が2つあります。1つは、このマルウェアが、未修正のWindowsの脆弱性を利用して実行され、ドライバ感染するということ。もう1つは、このマルウェアの構成要素に、通常のマルウェアとは異なりデジタル署名された、ルートキットのように動作する2つのドライバが含まれていることです。
この2点は、メディアでも大きく取り上げられました。本ブログでは、危険と化したシステムに対する潜在的な影響、さまざまな攻撃デバイスが組み合わされた複雑性、そのことが今回の攻撃対象となったエネルギー分野にとって何を意味するのか、にポイントを当て解説します。
Stuxnet攻撃の主な特徴
- Stuxnetは、ゼロデイのWindowsの脆弱性を利用して、USBドライブまたはファイル共有からシステムにアクセスするマルウェアで、非常に高度な攻撃といえます
- Stuxnetは、台湾を拠点とする2社の証明書を使って、デジタル署名されています。犯罪者は、署名入りの証明書を手に入れるため、これら2社を乗っ取ったと思われます
- Stuxnetは、公益事業会社で制御システムのオペレーションの表示に使用されているシーメンス社のソフトウェアを探し出し、そのソフトウェアで使用されているデータベースにアクセスします
- Stuxnetがアクセスするデータベースには、電力会社の制御システム、すなわち発電所の主要な発電、送電機能を実行するシステムの環境に関する情報が格納されています
- これらの制御システムの詳細な情報にアクセスすることで、電力会社の業務に関する機密情報が悪意のある組織に漏れ、深刻な結果が引き起こされる可能性があります。
Stuxnet攻撃の主な動作
- ユーザーが、USBドライブ(またはそのほかのリムーバブルメディア)をシステムに接続
- 感染したドライブが、Windows Shellコードのゼロデイ脆弱性を利用してマルウェアを実行
- このマルウェアが、シーメンス社のWindows SIMATIC WinCC SCADAシステムデータベースにアクセスすることを目的に、脆弱性のある危険なシステムを検索(このマルウェア署名に使用される認証の1つは無効化されましたが、まだもう1つ残っています)
- このマルウェアが、WinCC Siemensシステムのハードコーディングされたパスワードを使用して、WinCCソフトウェアのSQLデータベースに保管されている制御システムの動作データにアクセス
以上の動作による潜在的影響は、どのようなものでしょうか。
標的は、シーメンスのSCADA(Supervisory Control and Data Acquisition)システムであるSIMATIC WinCCです。このソフトウェアは、公共事業の産業用制御システム向けHMI(Human Machine Interface:ヒューマンマシンインタフェース)としての機能を果たしています。HMIは、発電所の主要な発電・送電設備を運転する制御システムのグラフィック情報をホストして表示します。
また、HMIは工場の制御システムの健全性、稼働時間、全体的な運転状況を常時監視します。ほとんどの場合、HMIは制御システム間のプロセスフローを管理するよう設定されています。HMIのグラフィック情報が表示するのは、コンピューターネットワーク図のような一種のマップです。このStuxnetは、重要インフラのマップをサイバー犯罪者に渡す恐れがあります。
制御システムのセキュリティとITセキュリティ
制御システムとITシステムの間には、さまざまな違いがあります。ITシステムには、可用性と並行して機密性を実現するという方針がある一方で、制御システムは、達成困難な99.99999%という可用性を実現するよう設計されたものです。通常、制御システムはITシステムとは別個のネットワークに置かれ、完全に区別されたチームが管理しています。
従来の変更管理プロセスは、365日24時間の可用性というニーズが常にあるため、制御システム環境に置かれており、冗長になりがちです。その結果、パッチ更新、セキュリティ更新、修正プログラム、回避策などが必ずしも最優先されない場合があります。
今回の例では、シーメンスはハードコーディングされたパスワードをアプリケーションで使用して、SQLデータベースにアクセスできるようにしていました。同社は、これらのパスワードを変更するとシステムの可用性が低下すると警告していました。多くのセキュリティ研究者が、この明らかなセキュリティ侵害について改善を勧告してきましたが、この環境での可用性のニーズを考えると、それは非常に一般的なことです。
米エネルギー省(DOE)、米標準技術局(NIST)、そのほか多数の民間団体が、ITシステムと制御システムの領域間にあるギャップを埋めるよう要請してきました。そして、米エネルギー規制協議会(National Energy Regulatory Council:NERC)のような、ITプロセスおよびコンプライアンスに関する組織を設けることによって対処するようになりました。
しばらくの間、制御システム保護のニーズについて業界で討議されてきましたが、脅威はまだそれほど発生していませんでした。制御システムの領域で発生したイベントは、攻撃の実証を目的とした行為、偶発的な事象、不満を抱いている従業員による脅威、具体的な事象によって標的にされた攻撃のいずれかですが、フォレンジックの実施に限度があったため、意図された効果は検証されませんでした。
これが変化し始めたのは2009年でした。4月7日にNERCが公表した内容では、海外のエンティティからターゲットにされたマルウェアのインスタンスが、配電網に取り残されたという警告を発しています。もう1つ別の事例を紹介します。
Stuxnetの目的は、米国の配電網を危険にさらし、重要な詳細情報を悪意のあるエレメントに送信することだと推測されます。その実例については、過去何度も目にしたことがありますが、Windowsでのコード実行を可能にするゼロデイ脆弱性を検出するには高度な専門知識が必要です。制御システムの攻撃方法を理解するというのは、ただならぬ量の高度な知識を実証することなのです。
一般的なSCADAシステムでは、イーサネットポートおよびUSBデバイスを介したネットワークアクセスと物理的アクセスに限界があることを、攻撃者は知っています。さらに攻撃者は、シーメンス社制御システムに関して、「SCADAシステムは制御システム領域でどのような役割を果たすか、またハードコーディングされた初期設定パスワードを検出してデータベースにアクセスする際にはどのような役割を果たすか」という点にも精通するようになっています。つまり、攻撃者の知識はさらに高度なものになった、といえるでしょう。
最終的に、攻撃者は証明書ベースのクレデンシャルを偽造します。要するに、これは異常なほど巧みな攻撃なのです。
Stuxnetからの防御方法
ではどうすれば、この攻撃から身を守れるでしょうか。McAfeeは、この特別な脅威に対処するさまざまなツールを用意しています。具体的には、この攻撃を3つの要素に分け、それぞれの解決策に取り組まなくてはなりません。
1つ目の要素はマルウェアです。McAfeeは、DATバージョン6046でStuxnetワームを検出できるようにしており、この脅威に関連するコンポーネントを検出するだけでなく、隔離します。また、McAfee Application Control(旧Solidcore)製品は、署名更新の必要なく、この脅威による感染、実行、ペイロードを防ぎます。
2つ目の要素は脆弱性です。McAfeeはWindows脆弱性の検出機能を持っており、2010年7月16日にVulnerability Managerのチェックを行いました。McAfee Vulnerability Managerを使用すると、Stuxnetに弱いシステムを検出できます。
3つ目の要素はデバイスです。主な感染メカニズムの1つであるUSBドライブは、制御システム界で広く普及しています。この攻撃デバイスは、周辺セキュリティ対策を回避することを可能にするものです。McAfee Device Controlなどのツールを使用することで、PCをロックダウンして、マルウェア対策技術を内蔵した認証済みUSBデバイスのみに対応できるようになります。これにより、全体的な感染度合が減少します。
エネルギーの視点から見るStuxnet
エネルギー業界にとって、これは何を意味するでしょうか。エネルギー供給会社や電力会社は、今回の攻撃の巧みさに脅え、組織的で高度な持続型の脅威を恐れています。今回のStuxnet攻撃は、エネルギー業界の安全確保の重要性を、まさに浮き彫りにしています。また、制御システムセキュリティとITシステムセキュリティのギャップを埋めていくことが、今後のセキュリティベンダーに課せられた課題といえるでしょう。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
- Windowsの脆弱性悪用の攻撃にSiemensが注意喚起、パスワード変更は推奨せず
- 未解決のWindowsの脆弱性を突く攻撃コード出現、SANSが警戒レベルを引き上げ
- Windowsに新たな脆弱性、標的型攻撃の発生も
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
ITmediaはアイティメディア株式会社の登録商標です。