イランの核施設を破壊したサイバー兵器「Stuxnet」は、実は北朝鮮も狙っていた(2/2)

西方望

June 17, 2015 08:00
by 西方望

イランの核施設を破壊したサイバー兵器「Stuxnet」は、実は北朝鮮も狙っていた(1/2)の続きです。

このマルウェア兵器は、感染したPCにシーメンス製PLCを操作・監視するソフトウェアがインストールされているかを調べ、もし存在しなければ、あるいは存在してもそれが遠心分離器をコントロールするものでなければ何もしない。遠心分離器を制御するPLCと知る手段は、電源の周波数変換器だ。遠心分離器では高速でモーターを動作させるために、他の機器と比べて非常に高い周波数を用いる。これにより遠心分離器と判断すると、PLCを操作し周波数を変更して異常な動作を起こさせる初期型はカスケードのバルブを操作していたという)。その一方、機器側から送られた警告や数値をブロックしたり書き換えたりして、監視ソフトウェア側が異常を知ることができないようにする。こうして濃縮プロセスに失敗したり、遠心分離器が破壊されたりという事態になるわけだ。

実に巧妙な仕掛けだが、これが確実に機能するという保証を得るには、ターゲットと同じ機器を用意して、実際に破壊を行ってみるしかない。幸いなことにアメリカは、イランと同型の遠心分離器をすでに所持していた。「パキスタン核開発の父」アブドゥル・カディール・カーン博士は、核開発技術と遠心分離器を含めた機器類を各国に販売しており、イランもその国の1つに当たる。他にも北朝鮮やリビアが購入しているが、リビアは2003年に核開発を放棄。その際にアメリカは遠心分離器などを接収していた。これを使って「the bug」の実地テストが行われ、良好な結果を収めたため「実戦」に投入されたという。

そして「Stuxnet」として発見される

最初の小規模な攻撃は2008年春に行われ、ナタンツの複数の遠心分離器が故障を起こした。だがこの時点では、イランは単なる機械の不良としか考えなかった。2009年、アメリカ大統領がブッシュ氏からオバマ氏に替わってもオリンピック・ゲーム作戦は継続された。ブッシュ氏は、作戦を続けるべきとオバマ新大統領に助言したという。当初懐疑的だったブッシュ氏も、破壊テストの結果(遠心分離器の破片を実際に見せられたそうだ)や、初期攻撃の成功などを見て、かなりの手応えを感じていたのだろう。

このマルウェア兵器は、ネットワーク経由で拡散するといっても見境なくばら撒かれたわけではない。そんなことは無駄だし、無意味に拡がれば拡がるほど発見される可能性が高くなってしまう。本来はイランの核開発に関わる企業を狙って慎重に仕込まれ、そこからナタンツの施設へと感染していったのだ。だがその企業の1つから感染が外部に拡がり、世界的に拡散することになってしまった。その結果、2010年にはこのマルウェア兵器がセキュリティ企業に発見されることとなる。

このマルウェアに付けられた名前が「Stuxnet」だ。当初はゼロデイ脆弱性を利用している以外変哲のないマルウェアかと思われていたが、調査が進むにつれ、工業用機器をターゲットにしたものと判明し、セキュリティ業界の緊張感が一気に高まった。かねてより、SCADA(Supervisory Control And Data Acquisition:監視制御システム)、特に電気や水道などのインフラの制御システムを狙った攻撃が懸念されており、ついにそれが現実のものとなったかと思われたからだ。だが、Stuxnetはさらに不気味だった。感染が拡がっているのは主にイラン、そして狙うシステムはかなり特殊なものに限られる……

マルウェア兵器の存在が世に知られるたため、オバマ大統領はオリンピック・ゲーム作戦を中止すべきかも検討したようだが、最終的には継続を決断。そしてナタンツで大規模な攻撃が行われた。これにより当時稼働していた8400台の遠心分離器すべてが動作不能に陥り、イランの核開発計画は2年後退したともいわれる。マルウェア兵器自体はStuxnet以前にも以後にもあったと思われるが、おそらくこれが現在までにマルウェア兵器が上げた最大の「戦果」だろう。こうしてStuxnetは歴史に残るマルウェアとなった。

イランだけでなく北朝鮮もターゲット

そして、やはりというべきか、アメリカ政府は北朝鮮もターゲットにしていた。ロイターは5月29日、アメリカは北朝鮮に対してもStuxnetと同様のマルウェア兵器の使用を試みていたと報じた。この記事によると、Stuxnetの開発者は、感染したマシンで朝鮮語設定を検知すると活動を開始するバージョンを作成していたという。北朝鮮のウラン濃縮もイラン同様カーン博士由来の遠心分離器によるものであり、やはりシーメンス製のPLCとソフトウェアを使用していたと見られる。従ってStuxnetに大きな改変を施さなくても、北朝鮮の施設に対しても効果があった可能性は高い。

だが、アメリカの情報機関高官が語ったところによると、北朝鮮のネットワークがあまりに孤立しているため、NSAはそのマルウェアを送り込むことができなかったという。北朝鮮国内のネットワークは直接インターネットには接続されておらず、おそらくウラン濃縮施設のネットワークはその国内ネットワークからも切り離されているだろう。隔離されたネットワークに侵入するのは極めて困難だが、Stuxnetはイランではやってのけた。だが「隔離」がこのレベルになると、NSAの力を持ってしても不可能に近いということだろう。ある意味、非常に有効な防御法だが他の国に真似ができる話ではない。

ただし、北朝鮮のウラン濃縮施設へのサイバー攻撃について、アメリカがイランの場合と同じほどの力を注いだかどうかには疑問がある。むろん北朝鮮の核開発はアメリカの安全保障にとっても重大な脅威ではあるが、優先度でいえばやはりイランよりだいぶ落ちるだろう。また、Stuxnetが活動を開始した2006年ころの北朝鮮の核兵器開発はプルトニウムが中心で、2006年、2009年の核実験もプルトニウム型の原爆だったと見られている。その時期にもウラン濃縮施設は稼働していたし、より入手性のよいウラン型への移行を進めていたようだが(現在はウラン型中心と思われる)、当時は濃縮施設が被害を受けても核兵器の開発自体はそれほど大きなダメージを受けなかった可能性が高い。アメリカ政府はそう判断して、あまり無理押しせずに侵入を中止したのかもしれない。

今年になって、2010年にはNSAが北朝鮮内のネットワークへの侵入に成功していたと報じられた。これが事実としても、2010年といえばStuxnetが世に知られるようになった年であり、この時点から同様の攻撃をしても効果は薄い。おそらく、侵入ができたからといってStuxnetやその亜種を北朝鮮国内ネットワークに投入はしていないだろう。ただ、Stuxnetの開発開始からもう9年、大きな戦果を上げてからでも5年も経過している。大幅に進化した別のマルウェア兵器が、すでに北朝鮮国内ネットワークで暗躍をしている可能性はある。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…