DDoS攻撃や標的型攻撃メールなど、サイバー攻撃は非常に巧妙化していますが、国家間のサイバー戦争の幕開けとも呼ばれる「スタクスネット(Stuxnet)」をご存知でしょうか。イランの核施設を狙い撃ちにした巧妙なワームであり、スタクスネットを利用した攻撃は、サイバー環境上でも戦争が起こり得ることがわかる事例となりました。
今回は、スタクスネットの概要から被害事例を紹介し、対策方法について解説します。
この記事の目次
スタクスネット(Stuxnet)とは
スタクスネットは、2010年頃に発見されたマルウェアであり、特定の標的を狙う巧妙なワームです。インターネットに接続していない産業用制御システムを乗っ取り、物理的に破壊することに成功した危険なマルウェアの一種です。
スタクスネットは、2009年から2010年にかけて、イラン国内の核燃料施設でウラン濃縮用遠心分離機を物理的に破壊しました。当時アメリカが「Olympic Games」のコード名で読んでいたコンピュータウイルス計画の一種ではないか、と噂されています。
スタクスネット(Stuxnet)の仕組み
スタクスネットは、特定のシステムを狙い撃ちにしたマルウェアです。感染経路とあわせて、その仕組みを見ていきましょう。
USBなどのリムーバブルメディア経由の感染
スタクスネットが標的としていた産業用制御システムは、インターネットに接続していないため、当時は比較的安全だと考えられていました。
しかし、USBなどのリムーバブルメディア経由で感染したことから、当時のセキュリティ管理を根本から見直すきっかけになっています。感染源となったUSBメモリは、技術者が集まる国際会議や見本市のお土産として無料で配られたもので、スタクスネットを忍び込ませていたと考えられています。
ネットワーク経由の感染
USBメモリなどから感染したパソコンから、ネットワーク経由でさらに感染範囲を広げました。スタクスネットはWindowsの脆弱性を悪用しており、タスクスケジューラの脆弱性により権限昇格などを行っています。
本来は、イランの核施設を狙い撃ちにしたものでしたが、イランの技術者がスタクスネットに感染したパソコンをインターネットに接続したことで、世界中にばらまかれました。
自己増殖を繰り返しながら特定のシステムを探す
スタクスネットはワームであるため、自らを増殖する機能を持っています。ネットワーク経由で感染源を広げながら、自己増殖を繰り返し、特定のシステムを探し続けました。
特定のシステムとは、ドイツの電気機器メーカーであるシーメンス社のシステムであり、イランの核施設で利用されていた産業用制御システムです。
産業用制御システムを乗っ取り物理的に破壊する
シーメンス社製の産業用制御システムを見つけたスタクスネットは、システムを乗っ取り、核施設の遠心分離機の回転速度に関わる制御システムに特定のコマンドを出しました。
具体的には、期間をおいて周波数を変え、回転速度を変えることでアルミニウムチューブに負荷をかけて遠心分離機を物理的に破壊したのです。制御システムを乗っ取っているため、計器の表示は常に正常を示すようにプログラミングされており、物理的に破壊されるまで誰も気づくことができませんでした。
スタクスネット(Stuxnet)の特徴
スタクスネットの最大の特徴は、ターゲットが非常に限定的であることです。スタクスネットの感染事例は多く、イラン以外では10万台以上のマシンに感染しましたが、障害は発生していません。
スタクスネットの発症トリガーは、次に示す通りです。
- OSがWindowsであること
- ドイツのシーメンス社製PCS7/WinCC(STEP7)であること
- SCADAシステムにおいて、周波数変換装置を制御するPLCであること
この条件に一致するシステムは、イランの核施設だけであり、このことからも狙い撃ちにされたことがわかります。標的となるシステムが見つからない場合、スタクスネットは休眠状態となり、2012年6月24日で自己消去するようにプログラミングされていました。
スタクスネット(Stuxnet)の被害事例
スタクスネットによってもたらされた被害の6割はイランに集中しています。そのなかでも、イランのナタンズ核施設では、8,400台の遠心分離機をすべて稼働不能にしたとされています。
ナタンズ各施設では、遠心分離機が稼働不能となったことでウラン濃縮が停止し、イランの国策であった核開発は、当時からさらに二年前に後戻りした、と言われています。
サイバー攻撃でありながら、ミサイル攻撃並の被害をもたらし、重要インフラに本質的な損失を与えたスタクスネットは、サイバー戦争の歴史を変えるワームといえるでしょう。
スタクスネット(Stuxnet)の危険性
スタクスネット自体は、イランの核施設を狙い撃ちにしたため、私達が普段利用するシステムや機器への危険性はありません。実際に10万台以上のマシンが感染しながらも、実害はありませんでした。しかし、スタクスネットの事例からわかる危険性として、巧妙に計画されて狙い撃ちにされると、ミサイル攻撃並みの被害を受ける可能性がある点が挙げられます。
もし、私達が普段利用するシステムや機器が狙い撃ちにされたら?生活に直結するようなインフラシステムが狙い撃ちにされたら?と考えると、スタクスネットのようなマルウェアは非常に危険性が高いことがわかるのではないでしょうか。
スタクスネットのようなマルウェアによる攻撃は、ミサイル攻撃並みの被害を受ける可能性がありますが、ミサイル攻撃と違って、私達個人でも対策することができます。
スタクスネット(Stuxnet)への対策
今後、スタクスネットと同様のマルウェアが登場した場合、私達が行えるセキュリティ対策方法を紹介します。
USBなどのリムーバブルメディアの利用制限
スタクスネットの主な感染源はUSBなどのリムーバブルメディアでした。インターネットに接続していないシステムでも、リムーバブルメディア経由で感染することがあります。
そのため、リムーバブルメディアの利用制限をかけることが有効的な対策です。ルールとして利用制限をかけることだけでなく、専用のソリューションを導入することも考えましょう。
Windowsシステムの脆弱性除去
スタクスネットだけでなく、多くのマルウェアは脆弱性を狙って攻撃します。特にWindowsはシェアが高いことから、多くのマルウェアに狙われているため、Windows Updateは定期的に行いましょう。
Windows Updateは、毎月第2水曜日にセキュリティ更新プログラムが配布されます。臨時のアップデートとあわせて、常に最新の状態に保つことで、脆弱性を除去しましょう。
セキュリティ対策ソフトの導入
未知のマルウェアに対応するために、セキュリティ対策ソフトの導入も重要です。セキュリティ対策ソフトのなかには、ソフトウェアの振る舞いによってマルウェアを検知できるものもあります。
スタクスネットでは、脆弱性の対応をされる前に攻撃を行う「ゼロデイ攻撃」が使用されていました。ゼロデイ攻撃を防ぐためにも、セキュリティ対策ソフトを導入しましょう。
最新の定義ファイルでの運用
セキュリティ対策ソフトを導入したら、常に最新の定義ファイルで運用する必要があります。定義ファイルは世界中のマルウェアに関する情報から作られているため、最新の定義ファイルで運用することで、マルウェアの検知率が向上します。
ソフトウェアの振る舞いによって検知することもできますが、誤検知やすり抜けてしまう可能性も考えられるため、最新の定義ファイルによって検知率を向上させましょう。
まとめ
スタクスネットは、2020年の現在では特別脅威となる存在ではありません。しかし、サイバー戦争の幕開けを担った存在であり、今後も同様のマルウェアが登場しないとも限らないのです。
当時は、ミサイル攻撃並みの被害をもたらしたサイバー攻撃ですが、今後同様のマルウェアが登場した際に、被害を受けないようにセキュリティ対策をしっかりと施しましょう。
サイバー攻撃が巧妙化するように、セキュリティ対策も同様に進化しています。Windows Updateで脆弱性を除去する、常に最新の定義ファイルを利用する、といった日頃のセキュリティ対策が、万が一の事態を防ぐ鍵となっています。