Stuxnetに関する質疑応答
制御システム「SCADA」などを狙うStuxnetワームによる騒動が世界中に広がっている。セキュリティベンダー各社に寄せられた同ワームに関する質問とその回答を紹介しよう。
「Stuxnet」は相変わらずホットなトピックだ。以下に、われわれが受けた質問の幾つかに対する回答を掲載する。
Q Stuxnetとは何か。
A USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。
Q ほかのUSBデバイスを介して広がることはあるのか。
A もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレームなどなど。
Q 同ワームは何をするのか。
A システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。
Q Simaticで何をするのか。
A Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。
Q どの工場を探しているのか。
A 分からない。
Q 同ワームは、探している工場を発見したのか。
A 分からない。
Q もし発見した場合、同ワームは何をするのか。
A システムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ることなしに検出することはできないため、分からない。
Q では、理論的には何をすることができるのか。
A 同ワームはモータ、コンベヤーベルト、ポンプを調整することができる。工場を停止させることができる。調整さえ適切ならば、爆発を起こすことも可能だ。
Q Stuxnetはなぜ、これほど複雑であると考えられているのか。
A 同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。
Q 同ワームは、自身のドライバをどのようにインストールし得るのか。ドライバはWindowsで動作するには、署名されている必要があるのではないか。
A Stuxnetドライバは、Realtek Semiconductorから盗まれた証明書により署名されていた。
Q 盗まれた証明書は取り消されているのか。
A VeriSignが7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が7月17日に発見された。
Q RealtekとJmicronにはどんな関係があるのか。
A 関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。
Q Stuxnetはどのような脆弱性を利用するのか。
A Stuxnetは全般的に5種類の脆弱性を利用する。そのうちの種類はゼロデイだ。
- LNK(MS10-046)
- 印刷スプーラ(MS10-061)
- Serverサービス(MS08-067)
- キーボードレイアウトファイルを介した権限昇格
- Task Schedulerを介した権限昇格
Q Microsoftがこれらにパッチを当てているのでは。
A 権限昇格の2種類の脆弱性は、まだ修正されていない。
Q Stuxnetの詳細な分析に時間がかかったのはなぜなのか。
A 同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5Mバイト以上のサイズがある。
Q Stuxnetが広がり始めたのはいつか。
A コンポーネントの1つのコンパイルデートは2009年1月だった。
Q 発見されたのはいつか。
A 1年後の2010年6月だ。
Q どうしてそんなことに。
A 良い質問だ。
Q Stuxnetは一国の政府によって作成されたものか。
A そう、そのようには見える。
Q 政府にそれほど複雑なことが可能なのか。
A ひねった質問だ。ナイス。次の質問。
Q それはイスラエルなのか。
A 分からない。
Q エジプト? サウジアラビア? アメリカ合衆国か。
A 分からない。
Q ターゲットはイランなのか。
A 分からない。
Q Stuxnet内に聖書のリファレンスがあるというのは本当か。
A 「Myrtus」(ギンバイカ植物)へのリファレンスがある。しかし、これはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、われわれに知らせたくなかったはずだが、このアーチファクトのおかげで、われわれは知ることとなった。このようなアーチファクトは、ほかのマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。
Q では、「Myrtle」はどの程度正確に聖書のリファレンスなのか。
A うーん、本当に分からない。
Q 何かほかの意味ということは無いのか。
A そう、「Myrtus」ではなく「My RTUs」かもしれない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。
Q Stuxnetはどのようにして、マシンを既に感染させたかを知るのか。
A 同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。
Q 「19790509」の意味は何なのか?
A 日付だ。1979年5月9日を意味する。
Q 1979年5月9日に何が起こったのか。
A おそらく、作者の誕生日ではないだろうか? しかし、これは「Habib Elghanian」というユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。
Q なるほど。
A ええ。
Q StuxnetとConfickerには関係があるのか。
A そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067の脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。
Q ほかのマルウェアとの関係は。
A Zlob亜種の幾つかが、LNK脆弱性を最初に使用した。
Q WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね。
A そうではない。USBワームが使用する拡散のメカニズムはほかにもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止にされたとしても感染経路となる。
Q Stuxnetは永久に拡散するのか。
A 現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。
Q 同ワームはどのくらいのコンピュータを感染させたのか。
A 何十万台もだ。
Q だがSiemensは、15の工場しか感染していないと発表している。
A 彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。
Q 攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか。
A 例えば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。
Q 理論的には、ほかに何ができるのか。
A Siemensは昨年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレットの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。
Q Stuxnetは、Deepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか。
A いや、われわれはそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。
Q エフセキュアはStuxnetを検出しているか。
A 検出している。
注:このQ&Aに記載した内容の多くは、われわれがMicrosoft、Kaspersky、Symantecおよびほかのベンダーのリサーチャーたちとディスカッションする中で得たものだ。
関連記事
- LNKエクスプロイトに関するその後の分析
- MSが月例セキュリティ情報を公開、相次ぐマルウェア攻撃に一部対処
- Stuxnet攻撃がエネルギー業界にもたらした意味
- 「Stuxnet」のイラン攻撃説――セキュリティ研究者は懐疑的
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.