Stuxnet：賢い人のためのガイド - TechRepublic

スタックスネットがイランのウラン濃縮遠心分離機に壊滅的な攻撃を仕掛け、初めて注目を集めてからほぼ7年が経った。

しかし、年月が経ってもその重要性が薄れたわけではなく、Stuxnet が悪用したエクスプロイトが 2016 年でも最も広く使用されたエクスプロイトの一つにランクされているという事実から、依然として重要なトピックです。マイクロソフトは 2010 年にこのエクスプロイト (CVE-2010-2568) にパッチを当てましたが、それを悪用するマルウェアは今も生き続けています。これが、Stuxnet が依然として重要である理由の代表的な例です。

2016年に制作されたStuxnetに関するドキュメンタリー映画『 Zero Days』は、このマルウェアを一般の人々の意識に定着させるのに役立ちました。Stuxnetはサイバー攻撃やサイバー戦争の代名詞となっており、その起源や標的の範囲については依然として多くの疑問が投げかけられています。

TechRepublic の Stuxnet に関する賢明な人向けガイドは、この政府が作成したマルウェアの簡単な紹介であるとともに、その進化と悪用に関するニュースが発生するたびに定期的に更新される「生きた」ガイドでもあります。

参照: TechRepublicの賢い人のためのガイドすべて

エグゼクティブサマリー

Stuxnetとは？ Stuxnetは、プログラマブル・ロジック・コントローラ（PLC）の動作を妨害するために設計されたコンピュータワームです。2010年に初めて発見され、米国とイスラエルの共同作戦によるものと広く信じられていますが、両国ともそれを認めていません。
Stuxnetはいつ発生したのでしょうか？ Stuxnetの感染拡大は2010年初頭に始まり、数ヶ月にわたりC&Cサーバーからアップデートがプッシュ配信されました。Stuxnetの前身となるマルウェアは、イランの急成長する核開発計画を標的とし、より大規模なStuxnet攻撃への道を開くために、2007年には既に使用されていたことを示唆する証拠があります。
スタックスネットは誰に影響を与えたのでしょうか？スタックスネットの影響は、感染者の60%以上が集中したイランで最も顕著でした。イランにおける被害の規模は確認されていませんが、多くの専門家はスタックスネットが1,000台の遠心分離機を破壊したと考えています。世界のその他の地域への影響はごくわずかでした。
なぜStuxnetが重要なのか？ Stuxnetのコマンド＆コントロール（C&C）サーバーはオフラインで、拡散も停止しているかもしれないが、セキュリティコミュニティはこのマルウェア攻撃から多くのことを学ぶことができる。Stuxnetは特に産業機械を標的とし、隔離されたネットワークへの拡散を意図して設計されており、インフラへの攻撃が可能であることを証明した。

参照：サイバー戦争からの防御：サイバーセキュリティエリートがデジタル黙示録を防ぐために取り組んでいる方法（無料PDF）（TechRepublic）

Stuxnet とは何ですか?

Stuxnetは、ホストファイルなしで拡散するワーム型のマルウェアでした。シーメンス社のPLCと、それらを管理する監視制御・データ収集（SCADA）システムの動作を妨害するように特別に設計されていました。

Stuxnetは、PLC制御に使用されるシーメンスのSTEP 7ソフトウェアを探しながら、機械から機械へと拡散していきます。STEP 7がインストールされた機械を見つけると、StuxnetはPLCに偽の情報を送信し始め、PLCがその偽の情報を使って生成するデータを傍受し、正常な動作状態をSTEP 7に報告することで、すべてが正常であるかのように見せかけます。

Stuxnetは非常に巧妙で、4つのゼロデイ攻撃（CVE-2010-2568を含む）を用いてシステムに侵入し、シーメンスの産業用制御システムのみに被害を与えるよう精密に構築されています。Stuxnetは3つの部分で構成されています。主な作業を行うワーム、拡散したワームのコピーの実行を自動化するリンクファイル、そしてすべてのファイルを検出から隠蔽するルートキットです。

参照：電子書籍「サイバー戦争とサイバーセキュリティの未来」（TechRepublic）

シマンテックの研究者たちは、Stuxnetが2007年という早い時期にイランの核開発計画に使用された証拠を発見した。しかし、その発生時期が遡ったのは、Stuxnetが2010年にイランの核施設への攻撃に使用されたことが発見された後のことだった。この攻撃により、遠心分離機1,000台が設計速度をはるかに超える速度で回転し、破壊された。

スタックスネットの複雑さに関する証拠が次々と明らかになるにつれ、スタックスネットは国家政府の支援を受けて構築されたという世論が固まり始めました。その後、スタックスネットは米国とイスラエルの合同サイバー戦争グループによるものだという報道がなされましたが、確固たる証拠は未だ存在しません。

追加リソース

ゼロデイ攻撃：賢い人のためのガイド（TechRepublic）
インフォグラフィック：スタックスネットスーパーウイルスの仕組み（ZDNet）
サイバー戦争：賢い人のためのガイド（TechRepublic）
StuxnetとFlameを超える：Equationが「最も先進的な」サイバー犯罪集団として記録される（ZDNet）
認定情報システムセキュリティ専門家（TechRepublic アカデミー）
クイック用語集: マルウェア (Tech Pro Research)

Stuxnet はいつ発生しましたか?

Stuxnetは2010年に発見されましたが、実際には数年前まで遡る、はるかに興味深い経緯があります。Stuxnetの前身となるマルウェアであるDuquとConfickerがいくつか事前にリリースされており、Stuxnetの開発と拡散に重要な役割を果たしました。

Stuxnetはイランのシステムを標的にした後、C&Cサーバーから複数回アップデートを受け取りましたが、その後C&Cサーバーは発見され、ブロックされ、最終的にオフラインになりました。Stuxnetの感染はその後数ヶ月かけて除去されました。

追加リソース

サイバー兵器が今、実用化へ：北朝鮮のミサイル実験に対する米国の妨害からダラスの緊急サイレンのハッキングまで（TechRepublic）
サイバー戦争の議論が現実味を帯びてきた（ZDNet）
マルウェアが戦争に突入：サイバー兵器の潜在的なツール、用途、標的（TechRepublic）
次の世界大戦がまずサイバー戦争、次に銃撃戦になる理由 (ZDNet)
2017 ITセキュリティ＆倫理ハッキング認定トレーニング（TechRepublicアカデミー）

Stuxnet は誰に影響を与えましたか?

Stuxnetの主な被害者はイランであり、感染したコンピュータの約60%がイラン国内に設置されていました。インドネシアではStuxnet感染率が18%、インドでは8%で、その他の国では感染率が1桁台前半でした。

イランの核計画はスタックスネットの主な標的であったと広く考えられており、イランはスタックスネットが核遠心分離機に影響を与えたことを否定しているものの、イランのナタンズの濃縮施設にある1,000台以上の遠心分離機が突然故障したことから、安全保障アナリストはスタックスネットが犯人であると結論づけている。

追加リソース

サイバー犯罪とサイバー戦争：あなたを狙う集団を見抜くためのガイド（ZDNet）
抑止力はサイバー兵器の脅威に対抗できるか？（TechRepublic）
産業用 IoT のセキュリティを向上させる 9 つのベストプラクティス (TechRepublic)
新たな戦争術：トロール、ハッカー、スパイがいかにして戦争のルールを書き換えているのか（TechRepublic）
マルウェア対策ポリシー（Tech Pro Research）
職務内容: 情報セキュリティアナリスト（Tech Pro Research）

Stuxnet はなぜ重要なのか?

Stuxnet自体はもはや重要ではありません。Stuxnetの全盛期はとうの昔に過ぎ去り、C&Cサーバーはオフラインになり、どんな政府によって構築されたにせよ、放棄されてしまいました。

重要なのは、スタックスネットがマルウェアの潜在的な高度化について何を明らかにしたか、そしてそれが産業やインフラをどれほど効果的に麻痺させる可能性があるかだ。

Stuxnet がマルウェアの機能について世界に明らかにしたことを詳しく見ていきましょう。

このマルウェアは、4つの異なるゼロデイ脆弱性を利用して拡散しました。これは2010年にはほとんど例がなく、現在でも珍しいことです。これらのエクスプロイトの中には、画面にアイコンが表示されるだけで感染するほど危険なものもあり、操作は一切不要でした。
Stuxnetは制御システムを標的とする攻撃において非常に効果的でした。20万台以上のマシンに感染し、そのうち1,000台に物理的な劣化を引き起こしたため、物理的な被害をもたらすマルウェアとなりました。今回の標的は遠心分離機でしたが、産業用制御システムは実験装置の制御だけにとどまりません。
多くのアナリストによると、これは国家主体によって作成されたものであり、スタックスネットは史上初のサイバー戦争攻撃ではないものの、これまでで最も洗練された攻撃であったと言える。
Stuxnetは当初、エアギャップネットワークへの感染を確実にするため、USBドライブ経由で配布されるよう設計されていました。Stuxnetがシステムに侵入すると、急速に拡散し、シーメンスのソフトウェアやPLCを制御するコンピューターを素早く探し出すように設計されていました。

Stuxnetは既に消滅したかもしれないが、その解剖されたコードはオンラインで容易に発見できる。つまり、その革新性は自由に利用できるということだ。それが世界に残した遺産こそが、Stuxnetが重要である理由だ。

米国のインフラがいつサイバー攻撃を受けるかについては様々な憶測が飛び交っており、多くのセキュリティ専門家はそれが近い将来に起こると考えています。Stuxnetの本来の目的（PLCなどの産業用制御装置への攻撃）は、米国やその他の国のインフラに対する将来の攻撃において大きな役割を果たす可能性が非常に高いでしょう。

Stuxnetの拡散を可能にしたエクスプロイトは、7年経った今でもマルウェアの中で最も標的となるエクスプロイトの一つであり続けています。これは、産業用ハードウェアを制御するソフトウェアを運用する組織のセキュリティにとって悪い兆候です。そして、これらの組織の多くは、電力網、水道、衛生ネットワーク、その他の重要インフラの運用に重要な役割を果たしています。

ESETは、Stuxnetに関する報道の中で、この出来事は「産業システムのセキュリティに関わるすべての人々にとって警鐘となるべき画期的な出来事だった」と述べています。しかし、Stuxnetが使用したエクスプロイトの少なくとも1つが依然として広く使用されていることから、サイバーセキュリティ専門家が期待していたような警鐘ではなかったことは明らかです。

標的を限定したStuxnetが、類似した、より壊滅的な形で再び出現するのは時間の問題です。他のセキュリティ脅威と同様に、Stuxnetの足跡をたどる可能性のある攻撃は、ソフトウェアを最新の状態に保つことで回避できます。

追加リソース