シマンテックは1日、カナダで開催されているVirus Bulletin 2010において、Stuxnet(スタスクネット)ワームについて分析した調査結果を発表し、併せてホワイトペーパー(英語)を公開した。このホワイトペーパーでは、産業制御システムを取り扱う企業に詳細な情報を提供することで、この脅威に対して今後、共同して対応していくことを目的としているとのことだ。

図1 公開されたホワイトペーパー

Stuxnetは、2010年7月にWindowsの脆弱性を悪用することで検出された。その際、悪用された脆弱性は、ショートカットファイルのアイコンを表示すると、アイコン画像の参照先のファイルを正確に解析しない、つまりは、画像データ以外の悪意を持った実行ファイルが起動されてしまうといったものである。対応されるまでの間、ゼロディ攻撃が行われたことも大きな脅威となった。その後、イランの産業制御システムを狙った攻撃も報道された。シマンテックでは、これは今までに見たことのない種類のワームであり、物理世界で大惨事を起こす能力を持つ初めてのウイルスとも警告している。

脆弱性をさらに悪用

Stuxnetは当初、上述の脆弱性を悪用し感染を行っていた。シマンテックの調査では、その後、合計4件の脆弱性を悪用し、ゼロディ攻撃を行っていることが判明した。具体的には、

  • 印刷スプーラに関するリモートコードの実行
  • ローカル権限昇格(2件)

である。印刷スプーラの脆弱性は、脆弱なPCの%System%ディレクトリへのファイルの書き込みを許してしまうものである。Stuxnetはまずこの脆弱性を悪用して自身のコピーを脆弱なPCに埋め込み、次いでWBEMの機能を使ってリモートPC上でそのファイルを実行する。シマンテックでは、1件のゼロデイ脆弱性であっても充分な脅威となりうるが、今回のよう、同時に4件もの脆弱性が悪用されるという事態は、まさに非常事態としている。パッチが適用されていない既知の脆弱性をこれほど多く利用する脅威が出現したのは、シマンテックでも初めての経験とのことだ。

Step 7のプロジェクトを介して感染を拡大

当初、Stuxnetの感染経路は、autorun.infを悪用した手法やゼロデイ脆弱性などであった。冒頭で触れたようにイランの産業システムでは、SiemensのエンジニアリングソフトウェアであるStep 7が狙われた。Step 7のプロジェクトフォルダを悪用するものである。信頼できない入手先(インターネット上のフォーラムなど)からダウンロードしたプロジェクトファイルを開くことで、ユーザーがまったく気がつかないうちに感染してしまうというものである。

解析では、さらにZIPアーカイブ内のプロジェクトも同じ方法で感染する場合があるとのことだ。シマンテックによれば、影響があるバージョンは、5.3と5.4 SP4で、Step 7 Lite v3は該当しない可能性が高いとのことだ。現状、最新バージョンのv5.4 SP5と2010年8月にリリースされたv5.5に影響があるかどうかは未確認とのことである。

オペレータやプログラマには、Stuxnetの新しい感染経路となる感染したプロジェクトファイルの扱いに関して、より一層の注意を喚起している。しかし、感染源として最も可能性が高いのは、この脅威によって危殆化したシステムを使っている信頼済みの企業や団体とも考えられるとのことだ。感染したプロジェクトをバックアップから復元した場合でも、クリーニング済みのPCに感染が再発することがあるので、管理者はファイルの復元にあたっても十分に注意が必要としている。

発表されたホワイトペーパーには、次のような報告が行われている。

  • 攻撃シナリオおよびタイムライン
  • 感染に関する統計
  • Stuxnetの感染履歴
  • Stuxnetの感染拡大プロセス
  • PLC改変
  • Stuxnetに秘められた興味深い観測

図2 感染ルーチンの流れ(ホワイトペーパーより)

さらにシマンテックでは、Stuxnetの作成には政府や大きな資金力を持つ民間団体が関与している可能性があると指摘する。Stuxnetは複雑で高度なプログラムで構成されており、様々な技術力が求められる。多額の資金を投入し、このような洗練された脅威を作成できる能力を有する組織はさほど多くはない。シマンテックでは、Stuxnetの開発には、5人から10人の人員を要し、6カ月程度の期間がかかったと計算している。さらに、産業制御システムに関する知識などもないと、このような脅威を生み出すことができない。ワームの完成には、ワームの品質保証テストを繰り返し行う必要があり、実際の産業制御システムが使われたはすであると分析している。

このように、多くの人と資金が使われ、さらに高度に組織化されたプロジェクトが背後に存在したとされる。イランへの攻撃は現在も継続中であるが、これまでも有効と判断された手法は、次々に応用され、新種や亜種のウイルスを登場させる。攻撃対象が産業制御システム以外にも波及する可能性は決して考えられないことではない。一般ユーザーにおいても、脆弱性の解消、セキュリティ対策ソフトを最新の状態に保つといった基本的な対策をぬかりなく行ってほしい。