ITmedia NEWS > 企業・業界動向 >
ニュース
» 2020年05月13日 07時00分 公開

高度なマルウェア対策をどう考えるか イランの核施設を狙った「Stuxnet」を振り返る (1/2)

技術の進歩に伴い、サイバー攻撃も巧妙化してきた。高度化して知的に振る舞うマルウェアに対して、どのような対策を施せばいいのか。2010年代にイランの核施設を狙ったマルウェア「Stuxnet」の例を考える。

[安藤類央(国立情報学研究所),ITmedia]

 技術の進歩に伴い、サイバー攻撃も巧妙化してきています。2010年代の代表的なマルウェアの一つに「Stuxnet」(スタックスネット)があります。Stuxnetは、米国とイスラエルが共同で、イランの核施設にある遠心分離器を制御するシステムを攻撃する目的で作ったとされるマルウェアで、2010年頃に話題になりました。この極めて高度なマルウェアを使ったコンピュータ・ウイルス計画は「Olympic Games」と呼ばれていたそうです。

 イランのナタンズにあるウラン濃縮施設の産業用制御システムはインターネットには接続されていませんでした。セキュリティを高める方法の一つに「エアギャップ」と呼ばれる手法があります。これはインターネットなどのネットワークから物理的に隔離された状態でネットワークを利用することで、外部のネットワークからのサイバー攻撃などから重要な情報を守る効果が期待できます。外部ネットワークとつながっていないシステムや端末に侵入するには、USBメモリなど外部メディアとの物理的な接続が必要になります。ナタンズのウラン濃縮施設でもエアギャップが徹底されていましたが、USBメモリを介して産業用制御システムが感染してしまったのです。

Stuxnetは核施設にどう侵入したか

 Stuxnetの主な目的は、施設内でウラン濃縮に利用される遠心分離機のコントロールを奪取し、イランの核実験・核開発を無効化することでした。StuxnetはWindows OSの脆弱性を悪用し、ドイツのSiemens社のシステム制御ソフトの脆弱性を標的とした攻撃をするなど、動作する条件は限定的でしたが、その自律性の高さに特徴がありました。自律性はAIの性質の一つですが、Stuxnetはマルウェアの中でも自律性が飛び抜けており、実質的に高度なAIと呼んでいいといえます。

 例えば以下のようなものです。

  • USB経由でコンピュータに装着された時点で、コンピュータにゼロデイ脆弱(ぜいじゃく)性(まだ対策が取られていないセキュリティ上の欠陥)がないか自動的にチェックする
  • 感染後、ネットワーク上のコンピュータに、遠心分離機を制御するPLC(プログラマブルロジックコントローラ、産業用の自動制御装置)がないか自動的に探査する
  • 遠心分離機の設定を不正に操作し、回転機器を故障させ、濃縮ウランの産出量を激減させる
  • 管理者と遠心分離機の間で、圧力、回転、振動などのセンサーデータを改ざんして、施設の技術者に異常を知らせないようにする
  • 標的となった装置のセンサーが出す警告信号をとめる指令を出し、管理者が誤作動に気付かないようにする

 このように高度な処理手順(アルゴリズム)が実装されているマルウェアも、エアギャップがあれば問題ないように思えますが、実際はUSBメモリを施設内のコンピュータに差すという人的ミスによって簡単にセキュリティを突破されてしまったのです。実際のところ、誰がUSBを差し込んだかは現在もよく分かっていませんが、施設の特徴やセキュリティ上の視点から、内部の人間である可能性が高いといえるでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.