アメリカとイスラエル政府が作成したコンピューターウィルス Stuxnet

国家が作成したワームウィルス

edward-snowden
画像:TORONTO STAR

英語で色々と調べものをしているときに、Stuxnet というコンピューターウィルスがたまたま目に留まり、私自身エンジニアなので気になり、少しばかり調べてみました。

エドワード・スノーデン氏が、アメリカの情報機関である NSA が各国に対して行っていた監視プログラムを暴露したことは、まだ記憶に新しいです。

国家がサイバー犯罪に関わっていること自体は暗黙の事実であるので、特に驚くことはありません。

Stuxnet というのは、コンピューターワームというネットワーク上のシステムに自己感染していくタイプのウィルスですが、それがものすごく良くできていたので紹介したいと思います。

アメリカ政府とイスラエル政府が国家プロジェクトとして作成したと言われているウィルスなので、品質の良さは折り紙付きでしょう。

色々と背景事情まで説明していると、記事が非常に長くなる恐れがあるので、全体としては簡単に説明していきます。

コンピューターの知識がない方でも理解できるように説明します。

イランの核施設が狙われた

natanz-satellite
画像:How far will newest U.N. nuclear report on Iran go?

イランが ナタンズ の核施設で核兵器の製造を試みていたかどうかは、異論もあるので真相は分かりません。

実際にイラン政府は商用などの平和利用目的だという論調で一貫していました。

ただしアメリカやイスラエル政府は軍事目的と考えていたようで、中東の軍事バランスが崩れないよう、なんとかこれを食い止めたいという気持ちがあったことは事実でしょう。

2005年になり国際原子力機関 (IAEA) がイランによる核拡散防止条約に対する違反があったとして、国連側から核濃縮を止めるよう要求されますが、イラン側はそれに NO を突きつけ、結果としてアメリカを中心とする国々から経済制裁を受けるにいたったという経緯があります。

様々な政治的な理由により、ナタンズへの爆撃は見送られましたが、当時のブッシュ大統領の認可により、サイバーテロが秘密裏に計画されたというのが Stuxnet の背景事情です。

ちなみに、その計画の名称を Operation Olympic Games と言います。

センスがある名前かどうかは分かりません。

USBメモリにより拡散

皆さんはインターネットに関してどのような考えをお持ちでしょうか?

初めにいってしまうと、インターネットにつながっているネットワークはひとつの例外もなく全てハッキング可能です。

以上の動画は2008年に放送された『Web Warriors』という、ハッカーを題材にしたドキュメンタリーの一部です。

30秒あたりから登場するのは Donnie という名のフリーランスのハッカーです。

1分58秒あたりから、実際に Donnie が実在する大手航空会社に対するハッキングを実演しています。

ナレーションにもありますが、5分もかからずデータベースへの侵入に成功しています。

そしてナレーションが「ハッカーが束になって取り組んだ場合、どの程度の破壊を引き起こすことが可能なのか」という提起をしています。

それに対しての Donnie の回答には背筋が凍ります。

彼が言うにはアメリカ合衆国の重要インフラは一日足らずで停止することができるとのことです。

そして、包括的な攻撃を行うのであれば1週間のリサーチをし、完了後の1日で送電網、電力線通信、軍および警察なども含む全てのシステムをダウンさせるとまで言っています。

インタビューアが「それは大げさではないですか?」と問いかけると Donnie は「私はそうは思わない」と平然と答えているところが彼の自信を示しています。

いくらか前のドキュメンタリーですが、セキュリティの現状は基本的に向上していません。

サイバー犯罪全体に関して言えば、むしろ2017年現在のほうがむしろ盛んでしょう。

インターネットというのはもともと銀行の口座情報など、他人に見られては困るようなコンテンツを扱うことを前提として設計されているわけではないのです。

話がだいぶそれましたが、イラン政府も愚かではないので、商用なのか軍事なのか、目的はなんであれ重要な核施設のシステムをインターネットにつなぐようなことはしません。

では一体どのように感染 Stuxnet に感染してしまったかと言うと、その原因は USBメモリです。

つまりナタンズの核施設に入り込み、内部のパソコンに USBメモリを差し込んだのです。

ただし、誰がどのようにして実行したかは分かっていません。

その研究所の職員が間違えて差してしまったのか、アメリカ政府のスパイが紛れ込んでいたのか、真相は謎ですが、結果としてナタンズのシステムは Stuxnet に感染させられました。

ゼロデイ

インターネットに接続されていないというだけで、施設内のシステム自体は相互に接続されているので、Stuxnet は一気に全体に感染したと言われています。

Stuxnet のターゲットとされたのは、ウラン濃縮を行う遠心分離機です。

一般的にアメリカとイスラエル政府の共同で作成したワームウィルスとされているので、それを前提として話を進めますが、標的としたナタンズの核施設が Microsoft Windows で構成されていることはあらかじめ知っていたようです。

なぜかと言うと、Stuxnet には Windows に潜むゼロデイがなんと20以上も搭載されていたのです。

ゼロデイとは一般的には知られていない、いわゆる未知のセキュリティホールのことです。

英語では Zero-day です。

なぜこのような言い方をするかというと、本来セキュリティホールというのは、世界各国のセキュリティ研究者が真っ先に発見をして、世界に向けて警告をするものです。

警告が発せられると、当のハードウェアやソフトウェアを開発した Microsoft などの企業はすぐにその脆弱性を補強するパッチというものを発行します。

これがいわゆる皆さんに届くアップデートというものですね。

ただし困ったことに一般のユーザの中には、アップデートをせずに放置する人たちがいます。

つまり、パッチの発行とユーザのアップデートの間にいくらかの期間が生じるわけですが、それを悪用する形で、世界中の悪意を持ったハッカーの人たちはウィルスなどを開発して攻撃を開始するわけです。

過去であれば、研究者がセキュリティホールを発見し公表してから、ハッカーがそれを悪用するまでに数週間ほどのタイムギャップがありましたが、そのうちハッカーの人たちもスキルを上げ、その期間が徐々に短縮されていきました。

そしてついにハッカーが研究者を追い越し、先にセキュリティホールを発見してしまうという事態が発生したのです。

これを元に、タイムギャップがゼロであるとして zero day と呼ばれるようになったのです。

ソフトウェアを開発する企業などは、発売前にテストを繰り返し行うわけですので、一般的に品質は保証されており、結果としてセキュリティホールを発見するというのはなかなか骨の折れる作業です。

それを20以上も搭載していたというのですから Stuxnet のすごさが分かります。

後に発見されてから、セキュリティ研究者の間でそのコードのレビューなどが行われましたが、既知のワームウィルスと比べると、とてつもなく複雑な構成になっていたということです。

とても個人が作成したウィルスとは考えにくいですね。

やはり政府機関がからんでいるのでしょう。

アメリカ政府の機関である NSA の内部にクローズドのネットワークでも構築し、そこで Git でも使用しプロジェクトを管理していたのでしょうか。

そのように考えると「税金を投入して何をやっているんだ」と突っ込みたくなります。

Stuxnet のファンクション

stuxnet
画像:FUKUSHIMA 3/11 TRUTH

ナタンズに放たれた Stuxnet は個々のコンピュータに到達後、それがドイツの多国籍企業である Siemens が開発した制御システムに接続されているかを調査するようプログラムされていました。

アメリカとイスラエル政府は、ナタンズの遠心分離機が Siemens S7-417 PLC というシステムで制御されていたことを知っていたようです。

Stuxnet は到達したコンピュータがそのシステムに接続されていない場合は消滅し、接続されていることを確認すると PLC に感染するようにプログラムされていたのです。

ウラン濃縮というのは非常にセンシティブな事業です。

IR-1 というナタンズで使用されていた遠心分離機は1分間に100,000回転することにより、核燃料であるウラン235を分離していたのですが、その回転スピードが速すぎても遅すぎても目的は達成できません。

では PLC に感染した Stuxnet がすぐに行動を起こしたかというと、そういうわけではありません。

一定期間、遠心分離機の挙動を監視しレコーディングしていたのです。

これには理由がありました。

世界中のどの核施設にも言えることですが、セキュリティは極めて厳しく、遠心分離機の稼働状況はモニターなどを使用し常時監視されている状態です。

システムに異常が発生した場合、担当する職員がすぐに察知できるようになっています。

ナタンズの当の職員たちは、問題なく稼動しているシステムを単に眺めている日々が続いたことでしょう。

ただし実は裏で Stuxnet が PLC の動作を制御することにより、遠心分離機には異常が発生していたのです。

なぜ職員は気づかなかったのでしょうか?

理由は以下のようなことです。

Stuxnet は PLC に感染直後からひっそりと遠心分離機の挙動を監視していたわけですが、それは正常稼動しているときのデータをレコーディングしていたのです。

そして、ある程度の情報を蓄積した後に真のパワーを発揮します。

遠心分離機の回転速度を少しずつ変更すると同時に、モニタールームへのアウトプットへはあらかじめレコーディングしていた正常時のデータを流すようプログラムされていたのです。

これでは異常が発生しても、モニターには正常であることを示す値しか表示されないので担当の職員は気づくことができません。

システムは助けを求めていたにも関わらず、その警告は Stuxnet により正常なデータに置き換えられモニタールームへ送信されているような状況だったのです。

施設の職員の間でも少しずつ状況が明るみになっていきましたが、彼らは遠心分離機の個々のパーツや、職員個人のスキルに問題があるのではと疑うようになり、最終的にはイラン政府によるウラン濃縮技術レベルそのものが疑われるような始末になってしまいます。

ワームウィルスが原因であることが突き止められたのは、ずっと後になってからです。

Stuxnet の作成者が誰であれ、作戦自体は大成功だったと言っていいでしょう。

これに関してはイラン政府の敗北です。

サイバーを空間を制する

Stuxnet のことが気になり少しばかり調べ記述してみました。

サイバー空間では戦争と言ってもいいような争いが常に発生しています。

ユビキタス社会 と言われるネットワークで相互に接続されている現代においては、サイバー空間を制するものが世界を制するといっても過言ではないでしょう。

そのため各国とも熾烈なハッキング合戦を繰り広げています。

誰も公に口にしないだけです。

エドワード・スノーデン氏は、皆が暗黙の了解としていることを発表したというだけでしょう。

皆さんも自分には関係ないと思ったら大きな間違いです。

ウィルス検地ツールというのは基本的に既知のウィルスのハッシュ値という簡単に変更可能な値を比較しているだけですので、実際に検地できるのは全体の半分以下でしょう。

クリーンだと思って使用しているパソコンが実は感染していて、皆さんの行動などを監視しているという可能性は十分にありえます。

最低限の対策として、アップデートの通知を受け取ったらすぐに実行するようにしましょう。

スポンサーリンク
スポンサーリンク

どんなささいなコメントでもウエルカムです。全てに返答いたします。

フォローする

スポンサーリンク