Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Response

W32.Stuxnet の調査詳細

Created: 01 Oct 2010 06:40:18 GMT • Translations available: English
Eric Chien's picture
0 0 Votes
Login to vote

シマンテックは、何週間にもわたり急ピッチで Stuxnet を解析してきましたが、その結果を『W32.Stuxnet Dossier(W32.Stuxnet の調査詳細)』というホワイトペーパーにまとめることができたことを、ここにご報告いたします。ホワイトペーパーには、Stuxnet について、この夏から一連のブログで継続的にお伝えしてきた内容に加え、この脅威のコンポーネントやデータ構造に関する技術的な詳細がすべて盛り込まれ、次のような高度な情報も記載されています。

  • 攻撃のシナリオと時系列
  • 感染の統計
  • マルウェアのアーキテクチャ
  • エクスポートされた全ルーチンの説明
  • インジェクション手法とウイルス対策への対抗
  • RPC コンポーネント
  • 感染方法
  • コマンド & コントロール機能
  • PLC 感染機能

このホワイトペーパーは、Virus Bulletin 2010 のカンファレンスで配布される予定ですが、こちらからもダウンロードできます。

シマンテックによる Stuxnet の調査は今年 6 月 17 日に開始されました。このときから、驚きと試行錯誤、苛立ちと検証に満ちたシマンテックセキュリティレスポンスチームの長い道のりが始まったのです。ベラルーシのセキュリティ企業である VirusBlokAda 社は、パッチの適用されていない脆弱性を突いてリムーバブルドライブに拡散する、驚くべき威力のマルウェアのサンプルを新たに発見したと発表し、多くのメディアがこのゼロデイ脆弱性を大きく取り上げました。ところが、問題はそれだけではなかったのです。その後 Stuxnet と呼ばれるようになったこの脅威は、程なくして、天然ガスパイプラインや発電所といった産業用制御システムの設計データを盗むサイバースパイのツールとして報道されるようになりました。

その後 Stuxnet は、この初期のレポートの範囲を超えることなく、もっぱらゼロデイ脆弱性の悪用と設計文書を盗み出す能力だけを見せ付けていました。Stuxnet の最終的な目的が、産業用制御システムに対するサボタージュ攻撃であったことが広く知られるようになったのは、つい最近のことです。

Stuxnet の解析は、シマンテックが経験した中でも最も難易度の高い課題のひとつでした。コードはきわめて精巧かつ膨大であり、さまざまな分野における何人もの専門家を必要としました。また、バグもほとんど見つかっておらず、これは平均的なマルウェアとしてはまれなことでした。Stuxnet がマルウェアの平均を超えていることは明らかです。Stuxnet は、5 人から 10 人ほどで構成される中心的なチームによって、6 か月以上かけて開発されたものと私たちは推測しています。開発はおそらく高度に組織化されたものであり、このチームのほかにも、開発の組織化に必要な品質保証や管理を行う要員、その他に必要となるであろう多数の人員、たとえば、標的とする環境を模倣したテストシステムの設定作業員や、コマンド & コントロールサーバーの保守要員などがいるものと見られています。

シマンテックのアーカイブを調べたところ、2009 年 6 月からサンプルが確認されています。したがって、攻撃者は少なくとも 1 年間は活動を続けてきたことになります。それよりさらに前から活動が始まっていたとしても不思議ではありません。

典型的な脅威は、クレジットカード番号のような仮想資産や個人資産を攻撃します。Stuxnet による実世界への影響は、これまでに出現したどの脅威よりも大きいと言えます。現在、Stuxnet をリバースエンジニアリングしてその意図を理解しようという難題への挑戦の最中ですが、Stuxnet は二度とお目にかかりたくない種類の脅威です。

なお、シマンテックセキュリティレスポンスチームのメンバー全員に謝意を表したいと思います。Stuxnet の解析に当たっては、その最終的な動機を解明するために多くの人々が寸暇を惜しまず、多大なる尽力をもって作業に取り組みました。こうした各人の献身的態度がなければ、シマンテックの独自による解析はとうてい達成できなかったでしょう。

最後に、Stuxnet については末節にいたるまであらゆる詳細を解明したと考えていますが、その最終的な標的は依然として不明のままです。使用されていた STL コードはすべてリバースエンジニアリングによって抽出しましたが、STL コードが実世界で制御している対象の背景については、一切明らかになっていません。ICS システムについてわかりやすく説明すると、STL コードは基本的に、特定のアドレスに数値を設定するものです。しかしそのアドレスの背後にあるものが、ポンプなのか遠心分離器なのかコンベアベルトなのか、コードから知ることはできません。とは言え、共通するなんらかの構成要素があるのでないかと私たちは考えています。たとえば、STL コーディングで使用される、遠心分離器とポンプを作動させるときに限って表示される特定の値を対比させることで、標的に関する手がかりが見つかるかもしれないと考えているのです。以上のことを踏まえて、STL コーディングの専門資格と、複数の重要インフラ産業での業務経験があり、複数の産業の大規模な産業用制御システムで大きな工数の STL プログラムのコーディングに携わったご経験がある方で、協力していただける方は、ぜひともご連絡ください。上部にある私の名前をクリックしていただければ、私宛に電子メールを送信できます。

総合ホワイトペーパーへのリンクをもう一度掲載しておきます: W32.Stuxnet Dossier(W32.Stuxnet の調査詳細)