アメリカとイスラエル政府が作成したコンピューターウィルス Stuxnet
国家が作成したワームウィルス
英語で色々と調べものをしているときに Stuxnet というコンピューターウィルスがたまたま目に留まり、私自身プログラマなので興味が沸き少しばかり調べてみました。
アメリカの情報機関である NSA が各国に対して行っていた監視プログラムをエドワード・スノーデン氏が暴露したことは周知の事実ですね。
国家がサイバー犯罪に関わっていること自体は暗黙の事実なので、特に驚くことはありません。
Stuxnet はコンピューターワームというネットワーク上のシステムに自己感染していくタイプのウィルスですが、それがものすごく良くできていたので簡単に紹介したいと思います。アメリカ政府とイスラエル政府が国家プロジェクトとして作成したと言われているので、品質の良さは折り紙付きでしょう。
コンピューターの知識がない方でも理解できるように説明します。
イランの核施設が狙われた
イランがナタンズの核施設で核兵器の製造を試みていたかどうかは、異論もあるので真相は分かりません。実際にイラン政府は商用などの平和利用目的だという論調で一貫していました。
ただしアメリカやイスラエル側は軍事目的だと考えていたようで、中東の軍事バランスが崩れないよう、なんとかこれを食い止めたいという気持ちがあったことは事実でしょう。
2005年になり国際原子力機関(IAEA)がイランによる核拡散防止条約に対する違反があったとして、国連側から核濃縮を止めるよう要求されますがイラン側はそれを拒絶し、結果としてアメリカを中心とする国々から経済制裁を受けるにいたったという経緯があります。
様々な政治的な理由によりナタンズへの爆撃は見送られましたが、当時のブッシュ大統領の認可によりサイバーテロが秘密裏に計画されたというのが Stuxnet の背景事情です。
ちなみに、その計画の名称を Operation Olympic Games と言います。
センスのある名前かどうかは分かりません。。
USBメモリにより拡散
あなたはインターネットに関してどのような考えをお持ちでしょうか?
初めにいってしまうと、インターネットにつながっているネットワークはひとつの例外もなく全てハッキング可能です。
以上の動画は2008年に放送された『Web Warriors』という、ハッカーを題材にしたドキュメンタリーの一部です。
30秒あたりから登場するのは Donnie という名のフリーランスのハッカーです。1分58秒あたりから、実際に彼が実在する大手航空会社に対するハッキングを実演しています。
ナレーションにもありますが、5分もかからずデータベースへの侵入に成功しています。
そしてナレーションが「ハッカーが束になって取り組んだ場合、どの程度の破壊を引き起こすことが可能なのか」という質問をしています。
それに対しての彼からの回答には背筋が凍ります。
彼いわくアメリカ合衆国の重要インフラは1日足らずで停止することができるということです。
そして包括的な攻撃を行うのであれば1週間のリサーチをし、完了後の次の1日で送電網、電力線通信、軍および警察なども含む全てのシステムをダウンさせるとまで言っています。
インタビューアが「それは大げさではないですか?」と問いかけると Donnie は「私はそうは思わない」と平然と答えているところが彼の自信を示しています。
いくらか前のドキュメンタリーですが、セキュリティの現状は基本的に向上していません。サイバー犯罪全体に関して言えば、2017年現在のほうがむしろ盛んでしょう。
インターネットというのはもともと銀行の口座情報など、他人に見られては困るようなコンテンツを扱うことを前提として設計されているわけではありません。
話がそれましたが、イラン政府も愚かではないので重要な核施設のシステムをインターネットにつなぐようなことはしません。
では一体どのように感染 Stuxnet に感染してしまったかと言うと、その原因は USBメモリです。つまりナタンズの核施設に入り込み、内部のパソコンに USBメモリを差し込んだのです。
ただし誰がどのようにして実行したかまでは分かっていません。
その研究所の職員が間違えて差してしまったのか、アメリカ政府のスパイが紛れ込んでいたのか、真相は謎ですが結果としてナタンズのシステムは Stuxnet に感染させられました。
ゼロデイ攻撃
インターネットに接続されていないというだけで、施設内のシステム自体は相互に接続されているので Stuxnet は一気に全体に感染したと言われています。
ターゲットとされたのは、ウラン濃縮を行う遠心分離機です。
一般的にアメリカとイスラエル政府の共同で作成したワームウィルスとされているのでそれを前提として話を進めますが、標的としたナタンズの核施設が Microsoft Windows で構成されていることはあらかじめ分かっていたようです。
なぜかと言うと、Stuxnet には Windows に潜むゼロデイがなんと20以上も搭載されていたからです。
ゼロデイとは一般には知られていない、いわゆる未知のセキュリティホールのことですね。
ソフトウェアを開発する企業は発売前にテストを繰り返し行うことで、その品質を消費者に保証しています。結果としてその完成品からセキュリティホールを発見するというのはなかなか骨の折れる作業です。
それを20以上も搭載していたというのですから Stuxnet のすごさが分かります。
このウィルスは後にセキュリティ研究者の間でコードレビューが行われましたが、既知のワームウィルスと比較してとてつもなく複雑な構成になっていたということです。
とても個人が作成したウィルスとは考えにくいですね。やはり政府機関がからんでいるのでしょう。
NSA の内部にクローズドのネットワークを構築し、そこで Git などでプロジェクトを管理していたのでしょうか。そのように考えると「税金を投入して何をやっているんだ」と突っ込みたくなります。
Stuxnet のファンクション
ナタンズに放たれた Stuxnet は個々のコンピュータに到達後、それがドイツの多国籍企業である Siemens が開発した制御システムに接続されているかどうかを調査するようプログラムされていました。
アメリカとイスラエルはナタンズの遠心分離機が Siemens S7-417 PLC というシステムで制御されていたことを、あらかじめ知っていたようですね。
Stuxnet は到達したコンピュータがそのシステムに接続されていない場合は自己消滅し、逆に接続されていることを確認すると PLC に感染するようにプログラムされていました。
ウラン濃縮というのは非常にセンシティブな事業です。
IR-1 というナタンズで使用されていた遠心分離機は1分間に100,000回転することにより核燃料であるウラン235を分離していたのですが、その回転スピードが速すぎても遅すぎても目的は達成できません。
では PLC に感染した Stuxnet がすぐに行動を起こしたかというと、そういうわけではありません。一定期間、遠心分離機の挙動を監視しレコーディングしていたのです。
これには理由がありました。
世界中のどの核施設にも言えることですが、セキュリティ体制は極めて厳しく遠心分離機の稼働状況はモニターなどを使用し常時監視されている状態です。システムに異常が発生した場合、担当する職員がすぐに察知できるようになっています。
ナタンズの職員たちは、問題なく稼動しているシステムを単に眺めている日々が続いたことでしょう。
ただし実は裏で Stuxnet が PLC の動作を裏で制御することにより、遠心分離機には異常が発生していたのです。
なぜ職員は気づかなかったのでしょうか?
理由は以下のようなことです。
Stuxnet は PLC に感染直後からこっそりと遠心分離機の挙動を監視していたわけですが、それは正常稼動しているときのデータをレコーディングしていたのです。
そして、ある程度の情報を蓄積した後に真のパワーを発揮します。
遠心分離機の回転速度を少しずつ変更すると同時に、モニタールームへのアウトプットへはあらかじめレコーディングしていた正常時のデータを流すようプログラムされていたのです。
これでは異常が発生しても、モニターには正常であることを示す値しか表示されないので担当の職員は気づくことができません。
システムは助けを求めていたにも関わらず、その警告は Stuxnet により正常なデータに置き換えられモニタールームへ送信されているような状況だったのです。
施設の職員の間でも少しずつ状況が明るみになっていきましたが、彼らは遠心分離機の個々のパーツや職員個人のスキルに問題があるのではと疑うようになり、最終的にはイラン政府によるウラン濃縮技術レベルそのものが疑われるような始末になってしまいます。
ワームウィルスが原因であることが突き止められたのは、ずっと後になってからです。
Stuxnet の作成者が誰であれ作戦自体は大成功だったと言っていいでしょう。これに関してはイラン政府の敗北です。
サイバーを空間を制する
Stuxnet のことが気になり少しばかり調べ記述してみました。
サイバー空間では戦争と言ってもいいような争いが常に発生しています。
ユビキタス社会と言われるネットワークで相互に接続されている現代においては、サイバー空間を制するものが世界を制するといっても過言ではありません。
そのため各国とも熾烈なハッキング合戦を繰り広げています。誰もそのことを公には口にしないだけです。
エドワード・スノーデン氏は多くの人たちが暗黙の了解としていることを単に発表したというだけでしょう。
あなたも「自分には関係ない」と思ったら大きな間違いです。
ウィルス検地ツールというのは既知のウィルスのハッシュ値という簡単に変更可能な値を比較しているだけなので、実際に検地できるマルウェアは全体の半分以下でしょう。
クリーンだと思って使用しているパソコンが実は感染していて、あなたの行動などを監視しているという可能性は十分にありえます。
最低限の対策として、アップデートの通知を受け取ったらすぐに実行するようにしましょう。
