Video Screencast Help
Security Response

スニーカーネットふたたび

Created: 08 Nov 2010 09:35:19 GMT • Translations available: English
khaley's picture
0 0 Votes
Login to vote

2010 年になってもまだこんな攻撃が続いていようとは、誰が考えたでしょうか。なんと、スニーカーネットをベースにした攻撃です。最近特に目立っている例が、W32.Stuxnet です。Stuxnet にはもっと際立った特徴があり、それがクローズアップされているので、スニーカーネットであるという点は無視されています。私はこの点を軽視してはならないと考えています。シマンテックでは、このような攻撃経路(USB メモリなどコンピュータ間で共有するデバイス)が年々多用されつつある状況を追跡しています。シマンテックによる『インターネットセキュリティ脅威レポート Volume XV』でも報告されているように、2009 年には、感染を引き起こす可能性のある悪質なコードサンプルのうち 72% が、この仕組みを利用して拡散していました。理由は簡単で、効果的だからです。そのことを端的に証明したのが Conficker でした。しかし、私が本当に興味をひかれ、しかも懸念しているのは、攻撃者が Conficker から重要な手がかりを得ているかもしれず、どんなに確実に隔離または保護されているように見えても今日の SCADA システム(産業用の監視制御およびデータ収集システム)ではそれを悪用できてしまうということです。

Conficker は、インターネットに接続されていないコンピュータにも感染します。その理由はすぐに判明しました。コンピュータを使う技術者たちは、ネットワークに接続されていないコンピュータにデータを持ち込むとき、UBS メモリを抜き差ししていました。その USB メモリが感染していたのです。脅威はすぐに、「ネットワークから安全に取り外された」コンピュータに飛び火しました。ご存じのように、これが話題になったのは、多くの病院の医療機器でこの感染が確認されたことでした。人命の救助に使われる医療機器がマルウェアに感染する可能性があるなど、考えただけでもぞっとします。しかも皮肉な話です。マルウェアが意味もなく「ウイルス」と呼ばれているわけではないのですから。感染した媒体が機器から機器へと気づかないうちに広がってしまうという事態に、真っ先に対策を講じなければならないのは、何をおいてもまず医療分野です。
 
ネットワークに接続されていない医療機器が Conficker に感染するというレポートがいくつも発表されましたが、かえってそれは、ネットワークに接続されていないコンピュータに侵入する方法を攻撃者たちに知らせる結果になりました。今のところ、W32.Stuxnet による攻撃の犯人は判明していません。前例を踏まえれば、犯人の特定には至らないでしょう。できるのはただ、この攻撃の背後にある考え方に憶測を巡らせることだけです。攻撃者が、ネットワークに接続されていない SCADA システムに関心を持っていたのかどうかはわかりません。しかし、攻撃者は、SCADA システムに接近するかなり有効な手段を手にしたものと思われます。もちろんそれは、紙一重の天才が技術を駆使するような手法ではありません。ソーシャルエンジニアリングです。

ハッカーたちにとって問題となるのは、ネットワーク上にないコンピュータにどうやってアクセスするかということです。ネットワークを利用した攻撃はもちろん使えませんし、ドライブバイダウンロードもだめです。電子メールもソーシャルネットワーキングも、よく使われる仕掛けはどれも通用しません。Hydraq とは異なり、標的となったコンピュータにアクセスするユーザーのコンピュータを感染させるという方法も使えません。そのユーザーのコンピュータが、標的となったコンピュータとつながっていないからです。それとも、つながっているのでしょうか。このようなコンピュータでも USB メモリとスニーカーネットを介してネットワークに接続されている、ということを Conficker は気づかせてしまったのです。

実を言うと、このような状況で攻撃者がどうやって、盗み出した情報をシステムから取り出すのか私にはわかっていません。想像もできないようなソーシャルエンジニアリングが必要になるはずです。しかし、攻撃の目的がシステムに障害を引き起こすことだとしたら(Conficker の場合、そうではないようです)、コンピュータにアクセスできさえすれば十分なのです。サイバー犯罪者がこのようなシステムに障害を引き起こすことは、国家の安全保障にとって重大な問題であると何度も繰り返し指摘されています。ですから、今後に注意が必要です。インターネットに接続されていないシステムであるにもかかわらず Stuxnet の攻撃を受けたという報告が、今後数週間のうちに目立ってくることは間違いありません。

世の中には、変わらないことがあるものです。スニーカーネットは絶滅しませんし、不適切なセキュリティポリシーや、ポリシー不在という状況さえ、解消されることはありません。ネットワークに接続されていないコンピュータでも、安全とは言えないということです。医療の現場では、別の患者に同じ手術器具を使うことなどありません。使うとしてもその前に少なくとも滅菌消毒を実施します。USB メモリの使用を禁止するのは、おそらく現実的ではないでしょう。ネットワークに接続されていないコンピュータにデータを持ち込まないといけないときが、どうしてもあるのは理解できます。だからこそ、何らかの対策を講じる必要があります。そう、それが滅菌消毒です。役に立つソフトウェアもあります。すべてのコンピュータに適切なセキュリティ対策を講じてください。未知のウイルスに対してさえ、USB メモリから拡散しないように遮断できる素晴らしい技術もありますが、あわせてセキュリティポリシーを必ず実施しましょう。関係者全員に、何をすべきか考えてもらってください。敵だって頭を使っているのですから。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。