以下は、エフセキュアブログから。気になった記事なので、そのままの引用です。
イギリスにあるVirusの情報提供会社の『Virus Bulletin』誌が、カナダで開催したVirus Bulletin 2010において、F-Secure 社の質疑応答。
Windowsに感染するワーム「Stuxnet」(スタクスネット:トロイの木馬型)は、イランで約3万台の産業関連システムに感染した。同国では、原子力発電所への感染はなかったと発表している。理論的には、工場の停止や、調整さえ適切ならば、爆発を起こすことも可能とされる。
関連:Stuxnetワームがイランを攻撃 「原発システムに被害ない」と政府
「Stuxnet」は、政府など大きな資金力をなくして、作成できない規模だと指摘されているのは気になる点だ。
関連は不明だが、英エネルギー大手BPの石油掘削施設「ディープウォーター・ホライゾン(Deepwater Horizon)」の爆発・水没による原 油流出事故があったが、感染の可能性のあったSiemens PLCシステムを使用していた。
イギリスにあるVirusの情報提供会社の『Virus Bulletin』誌が、カナダで開催したVirus Bulletin 2010において、F-Secure 社の質疑応答。
Windowsに感染するワーム「Stuxnet」(スタクスネット:トロイの木馬型)は、イランで約3万台の産業関連システムに感染した。同国では、原子力発電所への感染はなかったと発表している。理論的には、工場の停止や、調整さえ適切ならば、爆発を起こすことも可能とされる。
関連:Stuxnetワームがイランを攻撃 「原発システムに被害ない」と政府
「Stuxnet」は、政府など大きな資金力をなくして、作成できない規模だと指摘されているのは気になる点だ。
関連は不明だが、英エネルギー大手BPの石油掘削施設「ディープウォーター・ホライゾン(Deepwater Horizon)」の爆発・水没による原 油流出事故があったが、感染の可能性のあったSiemens PLCシステムを使用していた。
-------------------------------------------------------------------
Q:Stuxnetとは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク 共有に自身をコピーすることでも拡散し得る。
Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはド ライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。
Q:同ワームは何をす るのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。
Q:Simaticで何をするのか?
A:Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。
Q:どの工場を探しているのか?
A:分からない。
Q: 同ワームは、探している工場を発見したのか?
A:分からない。
Q:もし発見した場合、同ワームは何をするのか?
A:シス テムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ること無しに検出することはできないため、分からない。
Q:で は、理論的には何をすることができるのか?
A:同ワームはモーター、コンベヤーベルト、ポンプを調整することができる。工場を停止させることがで きる。調整さえ適切ならば、爆発を起こすことも可能だ。
Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A: 同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。
Q:同ワームは、自身のドライバをどのようにインス トールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、 Realtek Semiconductor Corpから盗まれた証明書により署名されていた。
Q:盗まれた証明書は取り消されている のか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。
Q:RealtekとJmicronにはどんな 関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。
Q:Stuxnetは どのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ:
LNK (MS10-046)
印刷スプーラー (MS10-061)
Serverサービス (MS08-067)
キーボードレイアウトファイルを介した権限昇格
Task Schedulerを介した権限昇格
Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種はま だ、修正されていない。
Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だか らだ。Stuxnetは1.5MB以上のサイズがある。
Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つの コンパイルデートは2009年1月だ。
Q:発見されたのはいつ?
A:1年後の2010年6月だ。
Q:どうしてそ んなことに?
A:良い質問だ。
Q:Stuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。
Q: 政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。
Q:それはイスラエルなのか?
A:分か らない。
Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。
Q:ターゲットはイランなのか?
A: 分からない。
Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファ レンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が 自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86 \i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかった はずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する 「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見され た後で、「Aurora」と名付けられた。
Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、 本当に分からない。
Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。
Q:Stuxnetはどのようにし て、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。
Q: 「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。
Q:1979年5月9日に何が起こったの か?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴され た。
Q:なるほど。
A:ええ。
Q:StuxnetとConfickerには関係があるのか?
A:そうい うこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つ かった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡 散する。そしてもちろん、どちらも非常に複雑だ。
Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を 最初に使用した。
Q:WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね?
A:そうではな い。USBワームが使用する拡散のメカニズムは他にもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止に されたとしても感染経路となる。
Q:Stuxnetは永久に拡散するのか?
A:現行バージョンは2012年6月24日が 「kill date」だ。同バージョンはこの日付に拡散を停止する。
Q:同ワームはどのくらいのコンピュータを感染させたのか?
A: 何十万台もだ。
Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場について だ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。
Q: 攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、そ の人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。 USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くこと になる。このようにして、Stuxnetは世界中に広がったのだ。
Q:理論的には、他に何ができるのか?
A:Siemensは昨 年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレッ トの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。
Q:Stuxnet はDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。 Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。
Q:エフセキュアはStuxnetを検出しているか?
A:検出している。
注:このQ&Aに記載した内容の多くは、我々がMicrosoft、 Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。
-------------------------------------------------------------------
インターネット経由の接続がなかったとしても、USBメモリ経由の感染(イランの原発職員のコンピュータがウイルス感染)を考えると、指定時間にプログラムが作動することも想定され、脆弱性があるかぎり、重大な事故が起こる可能性は常にあります。下記例にあるように、原発の冷却用ポンプが停止されたらと思うと、ぞっとしますね。サイバー戦争を連想してしまいます。
以下、上水道分野用のSCADAの例ですが、アラームの無効化・通信妨害・ポンプの起動停止(不正アクセスにより100 万リットル近くの未処理汚水が周辺に放流)、システムの通信障害で8時間にわたり水道水の供給が停止、塩素レベルの低下(水道水が飲めなくなった)という事例が掲載されています(「2.4 水道分野や他の重要インフラ分野で発生した SCADA インシデント」参照)。
(参考)上水道分野用のSCADA(監視制御システム) セキュリティグッド ...
http://www.ipa.go.jp/security/fy21/reports/scada/documents/scada_report.pdf
Q:Stuxnetとは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク 共有に自身をコピーすることでも拡散し得る。
Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはド ライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。
Q:同ワームは何をす るのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。
Q:Simaticで何をするのか?
A:Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。
Q:どの工場を探しているのか?
A:分からない。
Q: 同ワームは、探している工場を発見したのか?
A:分からない。
Q:もし発見した場合、同ワームは何をするのか?
A:シス テムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ること無しに検出することはできないため、分からない。
Q:で は、理論的には何をすることができるのか?
A:同ワームはモーター、コンベヤーベルト、ポンプを調整することができる。工場を停止させることがで きる。調整さえ適切ならば、爆発を起こすことも可能だ。
Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A: 同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。
Q:同ワームは、自身のドライバをどのようにインス トールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、 Realtek Semiconductor Corpから盗まれた証明書により署名されていた。
Q:盗まれた証明書は取り消されている のか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。
Q:RealtekとJmicronにはどんな 関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。
Q:Stuxnetは どのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ:
LNK (MS10-046)
印刷スプーラー (MS10-061)
Serverサービス (MS08-067)
キーボードレイアウトファイルを介した権限昇格
Task Schedulerを介した権限昇格
Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種はま だ、修正されていない。
Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だか らだ。Stuxnetは1.5MB以上のサイズがある。
Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つの コンパイルデートは2009年1月だ。
Q:発見されたのはいつ?
A:1年後の2010年6月だ。
Q:どうしてそ んなことに?
A:良い質問だ。
Q:Stuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。
Q: 政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。
Q:それはイスラエルなのか?
A:分か らない。
Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。
Q:ターゲットはイランなのか?
A: 分からない。
Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファ レンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が 自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86 \i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかった はずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する 「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見され た後で、「Aurora」と名付けられた。
Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、 本当に分からない。
Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。
Q:Stuxnetはどのようにし て、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。
Q: 「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。
Q:1979年5月9日に何が起こったの か?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴され た。
Q:なるほど。
A:ええ。
Q:StuxnetとConfickerには関係があるのか?
A:そうい うこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つ かった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡 散する。そしてもちろん、どちらも非常に複雑だ。
Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を 最初に使用した。
Q:WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね?
A:そうではな い。USBワームが使用する拡散のメカニズムは他にもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止に されたとしても感染経路となる。
Q:Stuxnetは永久に拡散するのか?
A:現行バージョンは2012年6月24日が 「kill date」だ。同バージョンはこの日付に拡散を停止する。
Q:同ワームはどのくらいのコンピュータを感染させたのか?
A: 何十万台もだ。
Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場について だ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。
Q: 攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、そ の人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。 USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くこと になる。このようにして、Stuxnetは世界中に広がったのだ。
Q:理論的には、他に何ができるのか?
A:Siemensは昨 年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレッ トの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。
Q:Stuxnet はDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。 Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。
Q:エフセキュアはStuxnetを検出しているか?
A:検出している。
注:このQ&Aに記載した内容の多くは、我々がMicrosoft、 Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。
-------------------------------------------------------------------
インターネット経由の接続がなかったとしても、USBメモリ経由の感染(イランの原発職員のコンピュータがウイルス感染)を考えると、指定時間にプログラムが作動することも想定され、脆弱性があるかぎり、重大な事故が起こる可能性は常にあります。下記例にあるように、原発の冷却用ポンプが停止されたらと思うと、ぞっとしますね。サイバー戦争を連想してしまいます。
以下、上水道分野用のSCADAの例ですが、アラームの無効化・通信妨害・ポンプの起動停止(不正アクセスにより100 万リットル近くの未処理汚水が周辺に放流)、システムの通信障害で8時間にわたり水道水の供給が停止、塩素レベルの低下(水道水が飲めなくなった)という事例が掲載されています(「2.4 水道分野や他の重要インフラ分野で発生した SCADA インシデント」参照)。
(参考)上水道分野用のSCADA(監視制御システム) セキュリティグッド ...
http://www.ipa.go.jp/security/fy21/reports/scada/documents/scada_report.pdf
-->
コメントする