2014年11月28日

Stuxnetの起源:最初に狙われた5つの組織

セキュリティ マルウェア

1年前、Stuxnetのニュースが大きく取り上げられ、情報セキュリティ業界を震撼させました。誰がどんな目的で開発したのかは謎のままですが、噂では、米国とイスラエルの情報機関がイランの核プログラムの妨害に使用したとされています。その可能性は十分にあると言えるでしょう。Stuxnetは実際に、ウラン濃縮遠心分離機を停止させ、イランの核開発プログラムに何年もの遅れを生じさせたからです。

Stuxnet-First-Victims-of-the-First-Cyberweapon

Stuxnetの作成者は、ネットワークに接続されていない保護されたマシンを攻撃し、大規模な破壊活動の実行に成功しています。多くの専門家が指摘するように、Stuxnetはその後コントロールがきかなくなり、自分自身を積極的に拡散するようになりましたが、そもそも特定タイプの産業システムを標的としていたため、個人のPCや企業のPCに目に見える被害はありませんでした。

最初の標的

米国人ジャーナリストのキム・ゼッター(Kim Zetter)氏は11月11日、自著『Countdown to Zero Day』を出版しました。当社はこれを機に、Stuxnetについてあまり知られていない事実を同書から抜粋して、多くの人にお伝えすることにしました。初期のバージョンについては軽く触れるにとどめ、2009年から2010年にかけて何度も不正侵入事件を引き起こしたバージョンを中心に紹介したいと思います。

このマルウェアには、ある興味深い特徴があったために、発生した事件を簡単に再現することができました。侵入したマシンの履歴(名称、ドメイン名、IPアドレスなど)が、マルウェア本体に保存されるのです。このデータは常に更新されるため、Stuxnetの起源を突き止めることができました。

2011年2月に『W32.Stuxnet Dossier』を発表したSymantecは、Stuxnetの拡散が5つの組織(うち2つは2009年と2010年に2度攻撃を受けています)から始まったことを特定しました。当時は企業名が伏せられていましたが、Kaspersky Labはこれを突き止めるために約2年をかけて、およそ2,000のファイルを分析しました。

ドメインA

Stuxnet 2009の最初の目立ったバージョン(Stuxnet.a)は、2009年6月22日に作成されました。コンパイルから数時間後には、「ISIE」にホストされたPCに感染しています。犯罪者が外付けストレージデバイスを使った可能性は低いでしょう。これほどの短時間で施設の内部から感染させることは非常に難しいからです。

このマルウェアには、ある興味深い特徴があったために、発生した事件を簡単に再現することができました。侵入したマシンの履歴(名称、ドメイン名、IPアドレスなど)が、マルウェア本体に保存されるのです

このようなわずかなデータだけでは、攻撃された組織をはっきりと断定することはできませんが、Foolad Technic Engineering Co(FIECO)だった可能性が高いと見ています。同社は、重工業企業向けにオートメーションシステムを製造しているイランの企業です。

Stuxnetは、遠心分離機の回転部に影響を与える機能のほか、スパイウェアモジュールも搭載していました。FIECOはStuxnetの作成者にとって格好の標的だったのです。おそらく作成者らは、FIECOが最終目標への近道であり、イランの原子力産業についてのデータを収集できる興味深い対象だと考えていたのでしょう。このコンピューターは2010年に、Stuxnetの3つめのバージョンによって再度攻撃されました。

ドメインB

次の「患者」は2009年6月、そして2010年の3月と5月に、合計3回の攻撃を受けました。Stuxnet 2010(Stuxnet.b)の世界的な蔓延の引き金となったのは、2回目の攻撃です。「behpajooh」というドメイン名のおかげで、このときの標的がBehpajooh Co. Elec & Comp. Engineeringだったことをすぐに確認できました。同社も産業オートメーションを手がける企業で、多数の企業とつながっています。

great_stuxnet_09

Khaleej Timesは2006年、ドバイの新聞社が報じた記事を紹介しました。それによると、国内のある組織が、核爆弾部品のイランへの密輸に関わっていたそうです。受取手は、イスファハンに拠点を置く「Bejpajooh INC」という企業とされています。

2010年4月24日、StuxnetはBehpajoohからMSCCOドメインへと移りました。考えられる標的として最も可能性が高いのは、イランの大手金属加工企業Mobarakeh Steel Company(MSC)です。同社は大量のPCを保有し、世界中の数多くの企業とつながっています。Stuxnetはこのようなつながりを利用することで、感染を全世界に拡大しました。2010年の夏には、ロシアやベラルーシの企業にまで感染を拡げています。

ドメインC、D、E

Stuxnetは2009年7月7日、NEDAドメイン内のPC「applserver」に感染しました。このケースでは、標的企業のNeda Industrial Grouを何の問題もなく特定することができました。同社は2008年の時点で米司法省に監視され、禁止物質を違法にイランに輸出した容疑がかかっていました。

Nedaの他に、もう1つ「CGJ」ドメインの組織が感染していました。しばらく分析を実施した結果、またしても産業オートメーションを手がけるイラン企業だったことが判明します。Control-Gostar Jahed Companyという企業でした。同社は豊富なポートフォリオを有し、広範囲に影響のある企業ですが、マルウェアの拡散が止まった場所はここでした。

最後に紹介する初期の標的企業は、大量のマシンが感染する原因となりました。2010年5月11日、Stuxnetは「KALA」ドメイン内の3台のコンピューターに感染しました。これはKala Electric(Kalaye Electric Co)だったと見られています。同社はIR-1ウラン濃縮遠心分離機の大手開発元で、イランのウランプログラムの大黒柱の1つとされています。それ以前に攻撃されていなかったことが不思議に思えます。

[vine url=”https://vine.co/v/OmXpFXDjUIg” width=600 height=600]

まとめ

これほど高度な攻撃ベクトル(ウラン濃縮遠心分離機の動作を停止させるのは簡単なことではありません)の割に、Stuxnetの拡散は非常に原始的でした。また、一時期制御がきかなくなったことがありました。そう考えなければ、元の標的とはかけ離れた大規模な感染について説明するのは難しいでしょう。

こうした難点を考慮すると、Stuxnetは非常に有効なマルウェアだったと言えます。作成者は世界最大のサイバー破壊活動の実行に成功し、サイバー兵器の新たな時代の幕を開けました。

Stuxnetが登場する前は、産業施設を事前に保護することについて考える人などいませんでした。施設をインターネットから遮断するだけで十分であると、多くの人が考えていたのです。ネットワークに接続されていないマシンの攻撃に成功したことで、Stuxnetの作成者は情報セキュリティの新たな時代の幕を開けました。Stuxnetに匹敵する重要性を持つのは、1988年に作成されたMorris Worm(Great Worm)くらいでしょう。