Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Stuxnet: 画期的な解明

Created: 13 Nov 2010 11:06:49 GMT • Translations available: English
Eric Chien's picture
0 0 Votes
Login to vote

私たちの支援要請に応えてオランダの Profibus の専門家からいくつかのヒントをお寄せいただいたことで、パズルの重要なピースをはめることができました。

シマンテックでは、Stuxnet が潜在的な妨害行為を引き起こすように実際に PLC のコードを改変することを発見して以降、Stuxnet の真の目的が何であり、標的をどこに定めているのかを特定できないでいました。

しかし、Stuxnet には、2 つの特定のベンダー(1 社はフィンランドに、もう 1 社はイランのテヘランに本社を置きます)の少なくともいずれか 1 社の周波数変換ドライブが産業用制御システムに必要であることをようやく確認できました。これは、S7-300 CPU および CP-342-5 Profibus 通信モジュールについて説明したこれまでの要件に加えられるものです。

標的システムは、次の図のようになると考えられます。

周波数変換ドライブは、出力周波数を変換することで、モーターの速度を制御できる電源です。周波数が高くなればなるほど、モーター速度が上昇します。

新しくわかった重要なポイントは次のとおりです。

  • すべての Stuxnet コードの目的を説明できるようになりました。
  • Stuxnet には、特定のベンダーの特殊な周波数変換ドライブが必要です。製品によっては、一部の国では入手できないものである可能性があります。
  • Stuxnet には、非常に高速(807 Hz ~ 1210 Hz)で動作する周波数変換ドライブが必要です。周波数変換ドライブは多くの産業用制御アプリケーションで使用されていますが、このような速度は限られた数のアプリケーションでしか使用されません。
  • Stuxnet は、出力周波数を変えるため、何か月にもわたってモーターの速度が短い間隔で変化します。モーターの速度に干渉するため、産業用制御プロセスの通常の動作が妨害されます。
  • 特殊な周波数変換ドライブに関する Stuxnet の要件と動作特性により、標的になると推測される可能性の数が絞られます。

Stuxnet は、動作を変える前に、これらのモーターの現在の動作周波数(807 Hz ~1210 Hz でなければなりません)を監視します。周波数変換ドライブの一般的な用途と比較すると、これらの周波数は極めて高速であると考えられるため、Stuxnet の標的になると推測される可能性の数を限定できるようになりました。シマンテックは産業用制御システムの専門家ではないため、このような速度で動作すると考えられるアプリケーションをすべて把握しているわけではありませんが、たとえば、小売包装施設で使用されるベルトコンベヤーが標的となることはまずないと考えられます。さらに、出力が 600 Hz 超の高効率低調波周波数変換ドライブは、ウラン濃縮に使用可能であるため、米国では原子力規制委員会によって輸出が規制されています。シマンテックでは、これらの周波数で周波数変換ドライブを使用するその他のアプリケーションについて調査したいと考えています。

これらの周波数での動作が一定期間にわたると、Stuxnet は PLC コードを乗っ取り、周波数変換ドライブの動作の変更を開始します。他のパラメータに加えて、Stuxnet は何か月にもわたって出力周波数を短時間のうちに 1410 Hz、2 Hz、1064 Hz と順に変えていきます。出力周波数の変更は、自動化システムの動作を妨害し、システムが正しく動作しなくなります。他のパラメータの変更も、予期しない結果を引き起こす可能性があります。

この発見によって、すべての Stuxnet コードの目的が判明しました。シマンテックでは、ホワイトペーパーを修正し、より詳細な記述を含めました(具体的には、「Modifying PLCs」セクションにいくつかのサブセクションを追加しました)。重ねてお願いしますが、シマンテックは決して産業用制御システムの専門家ではないため、フィードバックやさらなるヒント、あるいはデータに関する説明を歓迎いたします。ご連絡いただける場合は、このブログの一番上にある私の名前をクリックしてください。

ご連絡いただいたオランダの Profibus の専門家には、Stuxnet の目的と標的を理解するための画期的な解明へと導いてくれたことに心から感謝いたします。

更新されたホワイトペーパーへのリンクはこちらです

さらに、シマンテックでは先月の Virus Bulletin 会議で Stuxnet が PLC を乗っ取る方法について発表し、そのプレゼンテーションの中でライブデモを行いました。製油所や廃棄物管理システムを購入する余裕がなかったので、風船で代替せざるを得ませんでしたが、このときのデモのビデオを作成しましたので以下でご覧ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。