ここ数日、W32.Stuxnet がメディアに大きく注目されています。これは、この攻撃がどのようにして成功したか、そして今後どのように用いられるかをほぼ余すところなく示すケーススタディです。攻撃に成功すると、攻撃者は SCADA の設計や使用に関する機密文書を盗み出すことができます。
はじめに申し上げておきますが、この攻撃の背後にいるのが誰かはわかりませんし、これまでに攻撃の黒幕が見つかったことはほとんどありません。しかし、1 カ月前なら、誰かがこの種の攻撃のことを言い出しても、理論的には可能だと認めはするものの、そんな攻撃は映画の中の話だと大抵は片付けられてしまっていたでしょう。しかも、この種の攻撃が公開されることはほとんどありません。
この攻撃の背後にいるのは素人ではないことはわかっていますが、最終的な動機ははっきりしていません。
このケースの主な事実を以下に示します。
- 攻撃者は、すべてのバージョンの Microsoft Windows が対象となるゼロディ脆弱性を発見して利用した。
- 自分の存在を隠すためのルートキットを開発して使用した。
- 産業用資産や産業用プロセスの管理に使用されるソフトウェアを標的にし、製品内部についての深い知識が利用されていた。
- ハッカーは、悪意のない第三者企業からの正規のデジタル証明書を使用してファイルに署名できた。このデジタル証明書は 6 月に期限が切れましたが、7 月に新たに出現したドライバも別の企業からのデジタル証明書を使用してデジタル署名されていました。いずれの企業も台湾にオフィスがあります。ハッカーは、秘密鍵を盗んだり、ファイルに署名したりすることができました。攻撃者は、侵害したデジタル署名をさらに多く保持している可能性があります。
- ハッカーは、標的を絞った攻撃手段は用いなかった。この脅威は USB キーに自己を複製し、どの Windows コンピュータにも感染することができます。
ゼロデイ脆弱性、ルートキット、メインバイナリ、盗まれたデジタル証明書、そして SCADA ソフトウェアの詳しい知識は、いずれも優れた攻撃アセット(支援要素/手段)です。このような要因が組み合わされていることにより、この脅威はまったくの絵空事ではないにせよ、極めて珍しい存在になっています。
単独犯の可能性
1 つの可能性として、部屋にこもった典型的なハッカーによってこの攻撃が行われたことが挙げられます。このハッカーを駆り立てたのは、悪名を馳せることへの渇望かもしれません。知的財産を盗み出すことによって、この孤独なハッカーは自分のハッキングの技量を誇示したかったのかもしれませんし、ひょっとすると金銭を得るためにやったのかもしれません。できないことではありませんが、攻撃者は 2 つのデジタル証明書を盗んでゼロデイを悪用したほか、SCADA 製品の非常に詳しい知識を持っていることになります。極めて忍耐強く、果敢なハッカーでなければ、このような攻撃アセットを得るためのリソースにたどりつくことはできません。この脅威は週末に作り上げられたというようなものではなく、攻撃者が単独犯である可能性は低いと考えられます。
不満を抱えた社員の可能性
SCADA 製品の詳しい知識があることから、この攻撃が内部の人間によって行われた可能性があると結論付ける人もいます。おそらく、このソフトウェアを使用している会社で不満を抱えている社員の仕業だろうということです。しかし、不満を抱えた普通の社員が、ゼロデイ脆弱性を発見し、2 つのデジタル署名を盗み出すことができた可能性は低いと考えられます。
競合他社の可能性
もう 1 つの可能性として、侵害された企業の競争相手が何が何でも優位に立ちたいと願っていたことが考えられます。競争相手が、産業デザインの文書を利用して製造プロセスの機密を学習して模倣したり、競合他社にサービス拒否を発生させたりしている可能性もあります。このような場合、これまでは雇われたハッカーが攻撃を行っていました。ただし、この種の攻撃は、通常は標的を絞り込んでいます。今回のケースでは、脅威は Windows コンピュータに無差別に広がっています。コンピュータが標的の企業に属しているかどうかや、システムに SCADA ソフトウェアがインストールされているかどうかは関係ありません。これが産業スパイ行為であれば、攻撃者は標的のシステムに近づき、最終的に標的の SCADA システムを感染させる手段として USB キーの複製を作成することしかできなかったでしょう。しかし、今回の攻撃者は、世界中にある多数のコンピュータが最終的に巻き添えとなって感染することを見込んだ上で、脅威がセキュリティ企業のレーダーに探知されるまでに自分の攻撃が完了することを狙っていたのです。
国によるスパイ行為の可能性
近ごろ、国境を越えたハッキング行為を承認したとして政府が訴えられる事例が確認されています。ある政府が国家機密または軍事機密を盗もうとした可能性があるのです。今回の攻撃が国によって承認されたものであれば、軍事機密を入手することを含め、その動機は競合他社の場合と似ている可能性があります。攻撃アセットの複雑さとその性質から、そのような攻撃を行うためのリソースがあるのは国しかないと考える人もいます。ただし、2 つ目のデジタル証明書を使用したことが若干引っかかります。最初の攻撃が成功すれば、国はその身を隠し、2 つ目のデジタル証明書を無駄に使用することはないと考えられます。しかし実際は、よく似たバイナリに署名することによって、セキュリティ企業は盗まれた 2 つ目の証明書をすぐに検出し、さらなる侵害行為での利用を阻止することができたのです。
国粋主義、政治、宗教、縁故が絡んだ動機の可能性
国が行ったと考えられる攻撃の多くは、実は国粋主義に走っただけの市民や、政治的、宗教的、または何らかの主義に突き動かされた市民によって行われた可能性があります。同じ主義によって結束したハッカーは、敵であると感じた別の国、組織、企業を標的にすることがあります。このようなハッキンググループは、攻撃アセットを集める忍耐力と技能を持ち合せていることがよくあります。さらに、攻撃を継続するという目標を持っているがゆえに、自分たちの攻撃が妨害されたり発見されたりすると、新しく盗んだデジタル証明書で新しいドライバファイルに再度署名する、セキュリティ製品による検出を回避するためにバイナリを修正する、攻撃をやめるときにコマンド & コントロールホストを移動するなどの方法で、攻撃を洗練させてゆく可能性もあります。
テロの可能性
悪く捉えれば、今回の攻撃がテロによるものだ考えることもできます。発電所などの重要施設を制御できるようになれば、攻撃者は大きな混乱を引き起こし、施設の正常な稼働を中断させることによって施設での操業を停止させたり、損害を与えたりすることが可能です。これは映画から得た筋書きのようであり、ほとんどの攻撃の場合、この筋書きは単なる 1 つの可能性としてすぐに片付けられてしまうでしょう。しかし、攻撃アセットの量と質を考慮すると、今回のケースではテロさえもその可能性に含まれるように思われます。
結論
ほとんどのセキュリティの専門家は、高い技能を持つハッカーが組織または国さえも掌握して要求を突き付けるというアクション映画を見ても、これはあくまで空想にすぎない、と言うでしょう。しかし、Stuxnet の事例は、そのままでハリウッドの最新の超大作であるように思えてしまいます。Stuxnet は、一般に広まった脅威の中で、産業用プロセスの制御を掌握して不正な勢力下に置く可能性を示した最初の脅威です。さらに、相互につながっているこの世界で IT のセキュリティがますます重要になっていること、想定外の事態を考慮しなければならなくなっていることも示しています。
まだ攻撃者の正体はわかっていませんが、手掛かりは残されています。プロジェクトの名前を含むファイルパス「b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb」が、ドライバの 1 つに出現しています。グアバ(guava)はマートル(myrtus)科の植物です。なぜグアバやマートルなのか。推測してみてはいかがでしょうか。
執筆: Patrick Fitzgerald、Eric Chien
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。