7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」
さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs
SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。
Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。
ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」
CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」
BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal
じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。
このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI
イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes
同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」
ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。
Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge
他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews
これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA
今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」
さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs
SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。
Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。
ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」
CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」
BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal
じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。
このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI
イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes
同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」
ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。
Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge
他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews
これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA
今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin
