本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
新しいタイプの攻撃「Stuxnet(スタックスネット)」って何だ?

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマは「Stuxnet」。新手のサイバー攻撃で電気、ガス、水道が止まり、交通網も一瞬のうちにマヒするかも知れない?!

1.「Stuxnet」とは?

Stuxnet(スタックスネット)とは、複数の脆弱性を悪用しながらUSBメモリなどの外部メディア経由でWindows PCに感染し、原子力発電所の制御システムへ侵入して、その制御システム上にある装置に攻撃を加えるコンピュータウイルスのこと。Stuxnetは、独シーメンス社のPLC(プログラマブルロジックコントローラ)向けソフト「WinCC/Step7」の脆弱性を狙ってPLCに悪質なコードを書き込むことで、原子力発電所の制御システムに悪影響を及ぼすよう仕組まれている。

ただし、Stuxnetは特定のターゲット(イランの施設)をピンポイントで狙ったものであると言われており、独シーメンス社のPLCとそのソフトウェアを使っているすべてのシステムが攻撃対象になっているわけではない。つまり、ターゲットにされていない施設の場合、たとえ同じソフトウェアを使っていてStuxnetに感染しても発症しない。実際のところ、日本国内でも数件の検出事例が報告されているが、被害事例は報告されていない。

IPA(独立行政法人 情報処理推進機構)によれば、Stuxnetは次のような特徴を持っている。

Stuxnetの特徴
(1)500Kバイト以上のプログラムで、4000弱の機能を持っている。
(2)複雑であり、オブジェクト指向で開発されている。
(3)2つのルートキットを持ち、制御システムをターゲットとしている。
(4)複数の未知の脆弱性(ゼロデイ)を利用している。
(5)作成者はWindowsについての造詣が深く、制御システムであるWinCC/Step7についても詳しい知識を持っている。

このように、Stuxnetは高度で複雑な標的型コンピュータウイルスであり、一説によるとその開発には1000人日掛かっていると言われており、相当規模の組織が長時間(年単位)かけて作り出したものと見られている。

なぜ制御システムが狙われるのか?

攻撃目標が制御システムにまで拡大してきた大きな理由としては、これまで独自仕様で設計されていた制御システムが、徐々にオープン仕様を取り入れ始めるようになってきたことが挙げられる(図1)。経済産業省ではプラント設備に関して234社にアンケートを行った結果をまとめているが、それによると、国内の制御システムにおけるサーバの8割以上、端末の9割近くがWindows系を利用している。外部記憶装置については、サーバ・端末ともに7割がUSBを、5割がCD/DVDリーダを装備している。また、サーバにおけるネットワーク接続ポートとしては、6割がイーサネットを保有している。さらに、外部ネットワークとは4割弱が接続されており、接続先は、リモートメンテナンス回線が5割超、インターネットが4割である。そして、半数以上の制御システムが社内情報システムと接続されている。このようにプラント設備での制御システムにおいては、汎用製品や標準プロトコルの利用が進みつつあり、攻撃しやすい環境になってきたと言える。

図1 制御システムのオープン化(汎用製品や標準プロトコルの利用)の進展
図1 制御システムのオープン化(汎用製品や標準プロトコルの利用)の進展

資料提供:IPA

2.Stuxnetは「新しいタイプの攻撃」の1つ

従来、サイバー攻撃といえば、情報システムに焦点を絞った攻撃だけだったが、Stuxnetの出現により、情報システムだけでなく制御システムも攻撃されるようになり、その結果、社会インフラが大きな影響を受ける危険性が高くなってきた。例えば、Stuxnetのように発電所が狙われると電力供給がストップして社会生活がマヒしてしまうことになる。また、鉄道や飛行機、信号機などの交通網システムが狙われると、やはり社会全体が混乱し経済活動がストップすることになる。ガス、水道などの生活インフラにも制御システムが組み込まれているので、いつ攻撃対象になるか分からない。
 一方、制御システムを狙ったStuxnet以外にも、同じようなスタイルで「情報システム」を狙ったサイバー攻撃が報告されている。具体的には、Googleなどの特定企業だけを狙った「オーロラ攻撃」や、石油および天然ガスの企業幹部だけを狙った標的型のサイバー攻撃などがそうだ。これらのサイバー攻撃は、石油の埋蔵場所を特定するような極秘データや企業にとって重要な知的財産を盗み出そうとしており、スパイ活動にサイバー攻撃が使われ始めている。これらのサイバー攻撃には、次のような共通点があるという。

●脆弱性を悪用している。
●複数の既存攻撃を組み合わせている。
●ソーシャルエンジニアリングにより特定企業や個人、社会インフラまでも狙っている。
●対応が難しく執拗(Persistent)な攻撃を繰り返す。

こうした特徴を持つ新しい脅威のことを、海外ではAPT(Advanced Persistent Threats)、IPAでは「新しいタイプの攻撃」と呼んで注意を促している。「新しいタイプの攻撃」は情報システムも制御システムも同じように標的にしている。

「新しいタイプの攻撃」の実態
図2  ロケットを例にした攻撃のイメージ
図2  ロケットを例にした攻撃のイメージ

資料提供:IPA

IPAでは「新しいタイプの攻撃」についての分析を進めているが、その結果、このような攻撃はシステムへの侵入を行う「共通攻撃手法」と、情報窃取などの目的に応じた「個別攻撃手法」から構成されているという。これをロケットに例えると、図2のようになる。特定のシステムへの攻撃に特化した個別攻撃手法がペイロード部に、特定のシステムに侵入するための共通仕様部分(共通攻撃手法)がランチャー部にそれぞれ相当する。

一連の攻撃の流れはこうだ。ペイロード部とランチャー部からなるロケットが、ランチャー部を使ってシステムに侵入し、ペイロード部で特定のシステムに攻撃を加える。すなわち、実際に目的を達成するためのペイロード部を積んだロケットが目的地に向けて、発射される形となる。


Stuxnetを例に、共通攻撃手法と個別攻撃手法の流れを追ってみると、次のようになる。

共通攻撃手法
(1)インターネットやUSBメモリを通じた情報システムへのウイルス感染(図3)
(2)システムの脆弱性を利用することによる情報システム環境内部でのウイルスの拡散
(3)バックドアを作成し、外部の指令サーバと通信
(4) ウイルスの増強や新たなウイルスのダウンロードの実行
(ウイルスの増強やダウンロードは以降(4)、(5)の手順でも実行される可能性あり)
図3 目標システム内に潜入
図3 目標システム内に潜入

資料提供:IPA

Stuxnetの特徴
(5)原子力システムを制御する装置が配備してある制御システムへの侵入
(6)制御システム上にある装置に対する攻撃の実行(図4)
図4 目標の攻撃
図4 目標の攻撃

資料提供:IPA

3.「新しいタイプの攻撃」への対策

それでは、Stuxnetをはじめとする新しいタイプの攻撃に対し、一体どのような対策を取ればよいのだろうか。ペイロード部については、制御システムの設計内容や構成情報が開示されていないので、それぞれの組織やシステムの特性に合わせて対策を行う必要がある。従って、個別対策となることから膨大なコストがかかったり対策が間に合わなかったりする可能性がある。

一方、ランチャー部は、攻撃が第1ステップの侵入、第2ステップの複製、第3ステップの外部からの指令の受信といったように、多層ステップから構成されているので、ネットワークを介した動きを封じ込めれば、攻撃動作を停止できる。

そこで、IPAでは「共通攻撃手法」から「個別攻撃手法」に移行する前、つまりランチャー部の段階で攻撃者との通信を遮断することがもっとも効果的であると判断し、表1に示すシステム・ネットワーク設計における6つの対策を提案している。

表1 システム・ネットワーク設計対策要件
NO 機能要件項目 機能要件内容 要件理由及び背景 設計事例
1 プロキシの認証条件のチェック 一般PCの外部Webアクセス時、認証プロキシによる認証アクセスを設計。 ウイルスが、独自の通信メソッドを用いて搾取した情報を悪性サイトに送信する場合、認証情報を使用しない場合が多いことが確認されている。
※ウイルスが既認証状態を使用した攻撃仕様となった場合は、防止できない。
●認証プロキシ
2 HTTP、SSL通信のヘッダチェック 外部通信(GET、POSTコマンドのヘッダ等通信内容)の検出・遮断。 ウイルスが搾取した情報を外部の悪性サイトに送付する場合、新たな攻撃コードをダウンロードする場合、C&Cサーバからの指示を受信する場合に多くは80/tcp、443/tcpが用いられる。 ●NOC/SOC監視
3 未知のウイルスを検出可能なソフトウェアの導入 ゼロデイ脆弱性含む、ウイルスが脆弱性を使用した時の挙動検知。 PC上のウイルスの脆弱性利用等の挙動などから攻撃動作を検出することにより、未知ウイルスや、未知の脆弱性を突く「ゼロデイ攻撃」を検出し防御することが可能な製品が複数の企業から発表されてきている。
●ただし、従来のウイルス対策ソフトを補完するものとして、防御機能、管理工数など十分な評価の上で設計利用検討の必要性がある。
●振舞い検知タイプのウイルス対策ソフトの導入
4 スイッチ等でのVLANネットワーク分離設計 ルータ、スイッチによる必要なアクセス範囲に限定した、VLAN及びルーティング設定。特に、管理系端末VLANの分離設計。 システムへの影響を最小化するため、攻撃時の影響範囲をネットワーク設計上分離できるようにする。
●Conficler、Stuxnet事案等対処事例
●ネットワーク設計
●ルータ、スイッチのVLAN設定
5 最重要部のインターネット直接接続の分離設計 最重要部の通常サービス(http、ssl)に関するインターネット直接接続を分離設計し、外部からの制御シーケンスの影響を回避する。 外部からの制御シーケンスは、http、ssl等の通常通信を多様する。
USB等を介し、最重要部にウイルスが侵入した場合でも、インターネットを介した環境等攻撃分析情報の搾取、攻撃ウイルス更新、攻撃指示影響を回避する。
●ネットワーク設計
6 システム内P2P通信の遮断と検知 VLAN設定において、P2P通信の到達範囲を限定する。 外部のダウンロードサーバからアップデートされるウイルスは、外部接続可能なP2P要に仕立てた内部PCを経由して、内部システムに存在するウイルスの一斉バージョンアップやリモートコントロールを行う。 ●ネットワーク設計
資料提供:IPA

取材協力 : 独立行政法人情報処理推進機構

掲載日:2011年4月13日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2011年3月2日掲載分

検索

このページの先頭へ