解明が進む「Stuxnet」の目的

制御システムを標的にする「Stuxnet」ワームの目的が次第に明らかになってきた。その背景をSymantecが解説している。

[Eric Chien，Symantec Security Response]

（このコンテンツはSymantec「Security Response Blog」からの転載です。一部を変更しています。）

　わたしたちの支援要請に応えてオランダのProfibusの専門家から幾つかのヒントを寄せていただいたことで、パズルの重要なピースをはめることができました。

　Symantecでは、Stuxnetが潜在的な妨害行為を引き起こすように実際にPLC（プログラマブルロジックコントローラ）のコードを改変することを発見して以降、Stuxnetの真の目的が何であり、標的をどこに定めているのかを特定できないでいました。

　しかし、Stuxnetには2つの特定のベンダー（1社はフィンランドに、もう1社はイランのテヘランに本社を置きます）の少なくともいずれか1社の周波数変換ドライブが産業用制御システムに必要であることをようやく確認できました。これは、「S7-300 CPU」および「CP-342-5 Profibus」通信モジュールについて説明したこれまでの要件に加えられるものです。

　標的システムは、次の図のようになると考えられます。

　周波数変換ドライブは、出力周波数を変換することで、モーターの速度を制御できる電源です。周波数が高くなればなるほど、モーター速度が上昇します。

　新しく分かった重要なポイントは次のとおりです。

•すべてのStuxnetコードの目的を説明できるようになりました。

•Stuxnetには、特定のベンダーの特殊な周波数変換ドライブが必要です。製品によっては、一部の国では入手できないものである可能性があります。

•Stuxnetには、非常に高速（807〜1210ヘルツ）で動作する周波数変換ドライブが必要です。周波数変換ドライブは多くの産業制御アプリケーションで使用されていますが、このような速度は限られた数のアプリケーションでしか使用されません。

•Stuxnetは、出力周波数を変えるため、何カ月にもわたってモーターの速度が短い間隔で変化します。モーターの速度に干渉するため、産業用制御プロセスの通常の動作が妨害されます。

•特殊な周波数変換ドライブに関するStuxnetの要件と動作特性により、標的になると推測される可能性の数が絞られます。

　Stuxnetは、動作を変える前に、これらのモーターの現在の動作周波数（807〜1210ヘルツでなければなりません）を監視します。周波数変換ドライブの一般的な用途と比較すると、これらの周波数は極めて高速であると考えられるため、Stuxnetの標的になると推測される可能性の数を限定できるようになりました。

　Symantecは産業用制御システムの専門家ではないため、このような速度で動作すると考えられるアプリケーションをすべて把握しているわけではありませんが、例えば、小売包装施設で使用されるベルトコンベヤーが標的となることはまずないと考えられます。さらに、出力が600ヘルツ超の高効率低調波周波数変換ドライブは、ウラン濃縮に使用可能であるため、米国では原子力規制委員会によって輸出が規制されています。Symantecでは、これらの周波数で周波数変換ドライブを使用するその他のアプリケーションについて調査したいと考えています。

　これらの周波数での動作が一定期間にわたると、StuxnetはPLCコードを乗っ取り、周波数変換ドライブの動作の変更を開始します。ほかのパラメータに加えて、Stuxnetは何カ月にもわたって出力周波数を短時間のうちに1410ヘルツ、2ヘルツ、1064ヘルツと順に変えていきます。出力周波数の変更は、自動化システムの動作を妨害し、システムが正しく動作しなくなります。ほかのパラメータの変更も、予期しない結果を引き起こす可能性があります。

　この発見によって、すべてのStuxnetコードの目的が判明しました。Symantecでは、ホワイトペーパーを修正し、より詳細な記述を含めました（具体的には、「Modifying PLCs」セクションにいくつかのサブセクションを追加しました）。重ねてお願いしますが、Symantecは決して産業用制御システムの専門家ではないため、フィードバックやさらなるヒント、あるいはデータに関する説明を歓迎いたします。ご連絡いただける場合は、わたしの名前をクリックしてください。

　ご連絡いただいたオランダのProfibusの専門家には、Stuxnetの目的と標的を理解するための画期的な解明へと導いてくれたことに心から感謝いたします。

　さらに、Symantecでは10月のVirus Bulletin会議でStuxnetがPLCを乗っ取る方法について発表し、そのプレゼンテーションの中でライブデモを行いました。製油所や廃棄物管理システムを購入する余裕がなかったので、“風船”で代替せざるを得ませんでしたが、このときのデモのビデオを作成しましたので以下でご覧ください。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

原文へのリンク