ビデオヘルプ
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Stuxnet によって初めて実装された、産業用制御システムが標的のルートキット

作成: 07 Aug 2010 09:42:37 GMT • 参照可能な翻訳: English
Nicolas Falliere の写真
0 得票数:0
ログインして投票

最近の W32.Stuxnet ブログシリーズで説明したとおり、Stuxnet は Windows システムに感染して、一般に SCADA システムとして誤って認知されている産業用制御システムの検索を行います。産業用制御システムは、プログラマブルロジックコントローラ(PLC)で構成されます。PLC は、Windows システムからプログラミング可能なミニコンピュータと考えることができます。これらの PLC には、工業プロセスの自動化を制御する特殊なコードが含まれています(たとえば、プラントや工場で機械類を制御します)。プログラマは、ソフトウェア(Windows PC のソフトウェアなど)を使用してコードを作成した後、そのコードを PLC にアップロードします。

以前、Stuxnet はコードを盗んでプロジェクトを設計し、従来の Windows ルートキットを使用して自分自身を隠すこともできるということを報告しましたが、残念ながら今はさらに多くの能力を身につけています。Stuxnet は、プログラミングソフトウェアを悪用して、自身のコードを、通常 SCADA システムによって監視されている産業用制御システム内の PLC にアップロードすることもできます。さらに、Stuxnet はそれらのコードブロックを隠すため、感染したマシンを使用しているプログラマが PLC 上のすべてのコードブロックを表示しようとしても、Stuxnet によりインジェクトされたコードは表示されません。したがって、Stuxnet は単に Windows で自分自身を隠すルートキットであるだけでなく、PLC 上に存在するインジェクトされたコードを隠すことができる、初めて公けに知られたルートキットでもあります。

具体的には、Stuxnet はプログラミングソフトウェアをフックします。つまり、そのソフトウェアを使用して PLC 上のコードブロックを表示しても、インジェクトされたブロックはどこにも見つかりません。これは、列挙、読み取り、書き込みの各機能をフックして、隠されたブロックも誤って上書きされることがないようにすることで行われます。

Stuxnet には、"基礎ルーチン" を置き換えると思われる、70 の暗号化されたコードブロックが含まれています。基礎ルーチンとは、単純だがかなり頻繁に実行されるタスク(ファイル時間の比較や、カスタムのコードブロックおよびデータブロックによる他のタスク)を処理するルーチンのことです。これらのブロックは、PLC にアップロードされる前に、PLC に応じてカスタマイズされます。

Stuxnet は、コードを PLC に書き込むことで、システムの動作を制御したり変更したりできる可能性があります。これまでにあった例として、盗まれたコードがパイプラインに影響を与えた事例が報告されています。正しく機能するようコードがひそかに "トロイの木馬化" され、インストール後しばらくしてからようやく、パイプラインの圧力を能力以上に上げるようホストシステムに指示しました。この結果、3 キロトンの爆発が生じました。これは、広島に落とされた原子爆弾の約 5 分の 1 の規模です。

したがって、Stuxnet に感染したマシンを扱う管理者は、Stuxnet マルウェアを除去するだけでなく、デバイスで予期しないコードを監視する必要もあります。私たちは、いくつかのコードブロックを引き続き分析してその動作を正確に調べており、Stuxnet が実世界の産業用制御システムにどのような影響を与えるかに関してまもなく詳細な情報を入手できる見込みです。

最後になりますが、私たちは Stuxnet がこのルートキットをどのように機能させるかに関して掘り下げた技術的詳細を、将来のテクニカルホワイトペーパーのために用意しています。ブログに掲載する機会がなかった Stuxnet の他の機能についても徹底的に追求します。たとえば、Stuxnet が自分自身を削除するまでに感染カウンタ("3" に設定されています)を使用することや、Downadup(Conficker とも呼ばれます)により使用されるのと同じ脆弱性 MS08-067 を利用して感染を拡大することがあるという興味深い事実があります。

引き続き新しい情報にご注意ください。