ニュース
» 2010年10月04日 16時40分 公開

Stuxnetに関する質疑応答

制御システム「SCADA」などを狙うStuxnetワームによる騒動が世界中に広がっている。セキュリティベンダー各社に寄せられた同ワームに関する質問とその回答を紹介しよう。

[Mikko Hypponen,エフセキュア]

 「Stuxnet」は相変わらずホットなトピックだ。以下に、われわれが受けた質問の幾つかに対する回答を掲載する。

Q Stuxnetとは何か。

A USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q ほかのUSBデバイスを介して広がることはあるのか。

A もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレームなどなど。

Q 同ワームは何をするのか。

A システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q Simaticで何をするのか。

A Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Q どの工場を探しているのか。

A 分からない。

Q 同ワームは、探している工場を発見したのか。

A 分からない。

Q もし発見した場合、同ワームは何をするのか。

A システムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ることなしに検出することはできないため、分からない。

Q では、理論的には何をすることができるのか。

A 同ワームはモータ、コンベヤーベルト、ポンプを調整することができる。工場を停止させることができる。調整さえ適切ならば、爆発を起こすことも可能だ。

Q Stuxnetはなぜ、これほど複雑であると考えられているのか。

A 同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q 同ワームは、自身のドライバをどのようにインストールし得るのか。ドライバはWindowsで動作するには、署名されている必要があるのではないか。

A Stuxnetドライバは、Realtek Semiconductorから盗まれた証明書により署名されていた。

Q 盗まれた証明書は取り消されているのか。

A VeriSignが7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が7月17日に発見された。

Q RealtekとJmicronにはどんな関係があるのか。

A 関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。

Q Stuxnetはどのような脆弱性を利用するのか。

A Stuxnetは全般的に5種類の脆弱性を利用する。そのうちの種類はゼロデイだ。

  • LNK(MS10-046)
  • 印刷スプーラ(MS10-061)
  • Serverサービス(MS08-067)
  • キーボードレイアウトファイルを介した権限昇格
  • Task Schedulerを介した権限昇格

Q Microsoftがこれらにパッチを当てているのでは。

A 権限昇格の2種類の脆弱性は、まだ修正されていない。

Q Stuxnetの詳細な分析に時間がかかったのはなぜなのか。

A 同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5Mバイト以上のサイズがある。

Q Stuxnetが広がり始めたのはいつか。

A コンポーネントの1つのコンパイルデートは2009年1月だった。

Q 発見されたのはいつか。

A 1年後の2010年6月だ。

Q どうしてそんなことに。

A 良い質問だ。

Q Stuxnetは一国の政府によって作成されたものか。

A そう、そのようには見える。

Q 政府にそれほど複雑なことが可能なのか。

A ひねった質問だ。ナイス。次の質問。

Q それはイスラエルなのか。

A 分からない。

Q エジプト? サウジアラビア? アメリカ合衆国か。

A 分からない。

Q ターゲットはイランなのか。

A 分からない。

Q Stuxnet内に聖書のリファレンスがあるというのは本当か。

A 「Myrtus」(ギンバイカ植物)へのリファレンスがある。しかし、これはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、われわれに知らせたくなかったはずだが、このアーチファクトのおかげで、われわれは知ることとなった。このようなアーチファクトは、ほかのマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q では、「Myrtle」はどの程度正確に聖書のリファレンスなのか。

A うーん、本当に分からない。

Q 何かほかの意味ということは無いのか。

A そう、「Myrtus」ではなく「My RTUs」かもしれない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q Stuxnetはどのようにして、マシンを既に感染させたかを知るのか。

A 同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q 「19790509」の意味は何なのか?

A 日付だ。1979年5月9日を意味する。

Q 1979年5月9日に何が起こったのか。

A おそらく、作者の誕生日ではないだろうか? しかし、これは「Habib Elghanian」というユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q なるほど。

A ええ。

Q StuxnetとConfickerには関係があるのか。

A そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067の脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q ほかのマルウェアとの関係は。

A Zlob亜種の幾つかが、LNK脆弱性を最初に使用した。

Q WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね。

A そうではない。USBワームが使用する拡散のメカニズムはほかにもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止にされたとしても感染経路となる。

Q Stuxnetは永久に拡散するのか。

A 現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q 同ワームはどのくらいのコンピュータを感染させたのか。

A 何十万台もだ。

Q だがSiemensは、15の工場しか感染していないと発表している。

A 彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q 攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか。

A 例えば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q 理論的には、ほかに何ができるのか。

A Siemensは昨年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレットの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。

Q Stuxnetは、Deepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか。

A いや、われわれはそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q エフセキュアはStuxnetを検出しているか。

A 検出している。

 注:このQ&Aに記載した内容の多くは、われわれがMicrosoft、Kaspersky、Symantecおよびほかのベンダーのリサーチャーたちとディスカッションする中で得たものだ。

関連キーワード

Stuxnet | ワーム | 脆弱性 | ゼロデイ攻撃


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

セキュリティの最前線はエフセキュアブログで

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ