Stuxnet攻撃がエネルギー業界にもたらした意味

脅威情報
2010.7.29

最近、Windowsのショートカットファイルに存在する脆弱性を狙った「Stuxnet」というマルウェアが明らかになりました。このStuxnetには、制御システムや電力会社を狙った初のマルウェアという大きな特徴があります。Stuxnetの作者が、脆弱性に関する知識、ハッキングのプラグマティズム、物理的機密情報漏えいの潜在性を組み合わせて利用し、重要インフラシステムを狙った攻撃を実行したのは明らかといえます。本ブログでは、今回のStuxnet攻撃の持つ意味とその防御方法について解説します。

Stuxnet攻撃が有する最先端のテクノロジーには、興味深い点が2つあります。1つは、このマルウェアが、未知のWindows脆弱性を利用して実行され、感染するということ。もう1つは、このマルウェアの構成要素に、通常のマルウェアとは異なりデジタル署名された、ルートキットのように動作する2つのドライバーが含まれていることです。

この2点は、メディアでも大きく取り上げられました。本ブログでは、危殆化したシステムに対する潜在的影響、さまざまな攻撃デバイスが組み合わされた複雑性、そのことが今回攻撃対象となったエネルギー分野にとって何を意味するのか、に焦点を当て解説します。

Stuxnet攻撃の主な特徴

Stuxnetは、ゼロデイのWindowsの脆弱性を利用して、USBドライブまたはファイル共有からシステムにアクセスするマルウェアで、非常に高度な攻撃といえます。
Stuxnetは、台湾を拠点とする2社の証明書を使って、デジタル署名されています。犯罪者は、署名入りの証明書を手に入れるため、これら2社を乗っ取ったと思われます。
Stuxnetは、公益事業会社で制御システムのオペレーションの表示に使用されているシーメンス社のソフトウェアを探し出し、そのソフトウェアで使用されているデータベースにアクセスします。
Stuxnetがアクセスするデータベースには、電力会社の制御システム、すなわち発電所の主要な発電、送電機能を実行するシステムの環境に関する情報が格納されています。
これらの制御システムの詳細な情報にアクセスすることで、電力会社の業務に関する機密情報が悪意のある組織に漏れ、深刻な結果が引き起こされる可能性があります。

Stuxnet攻撃の主な動作

ユーザーが、USBドライブ（またはその他のリムーバブルメディア）をシステムに接続
感染したドライブが、Windows Shellコードのゼロデイ脆弱性を利用してマルウェアを実行
このマルウェアが、シーメンス社のWindows SIMATIC WinCC SCADAシステムデータベースにアクセスすることを目的に、危殆化したシステムを検索（このマルウェア署名に使用される認証の1つは無効化されましたが、まだもう1つ残っています）
このマルウェアが、WinCC Siemensシステムのハードコーディングされたパスワードを使用して、WinCCソフトウェアのSQLデータベースに保管されている制御システムの動作データにアクセス

以上の動作による潜在的影響は、どのようなものでしょうか。

標的は、シーメンスのSCADA（Supervisory Control and Data Acquisition）システムであるSIMATIC WinCCです。このソフトウェアは、公共事業の産業用制御システム向けHMI（Human Machine Interface：ヒューマンマシンインターフェース）としての機能を果たしています。HMIは、発電所の主要な発電・送電設備を運転する制御システムのグラフィック情報をホストして表示します。

また、HMIは工場の制御システムの健全性、稼働時間、全体的な運転状況を常時監視します。ほとんどの場合、HMIは制御システム間のプロセスフローを管理するよう設定されています。HMIのグラフィック情報が表示するのは、コンピューターネットワーク図のような一種のマップです。このマルウェアは、重要インフラのマップをサイバー犯罪者に渡す恐れがあります。

制御システムのセキュリティとITセキュリティ
制御システムとITシステムの間には、さまざまな違いがあります。ITシステムには、可用性と並行して機密性を実現するという方針がある一方で、制御システムは、達成困難な99.99999％という可用性を実現するよう設計されたものです。通常、制御システムはITシステムとは別個のネットワークに置かれ、完全に区別されたチームが管理しています。

従来の変更管理プロセスは、365日24時間の可用性というニーズが常にあるため、制御システム環境に置かれており、冗長になりがちです。その結果、パッチ更新、セキュリティ更新、修正プログラム、回避策などが必ずしも最優先されない場合があります。

今回の例では、シーメンスはハードコーディングされたパスワードをアプリケーションで使用して、SQLデータベースにアクセスできるようにしていました。同社は、これらのパスワードを変更するとシステムの可用性が低下すると警告していました。多くのセキュリティ研究者が、この明らかなセキュリティ侵害について改善を勧告してきましたが、この環境での可用性のニーズを考えると、それは非常に一般的なことです。

米エネルギー省（DOE）、米標準技術局、その他多数の民間団体が、ITシステムと制御システムの両領域間にあるギャップを埋めるよう要請してきました。そして、米エネルギー規制協議会（National Energy Regulatory Council：NERC）のような、従来のITプロセスおよびコンプライアンスに関する組織を設けることを通じて対処されました。

しばらくの間、制御システム保護のニーズについて討議されてきましたが、脅威はまだそれほど発生していませんでした。制御システムの領域で発生したイベントは、概念実証的な攻撃、偶発的なインスタンス、不満を抱いている従業員による脅威、具体的なインスタンスで標的にされた攻撃のいずれかですが、フォレンジックの実施に限度があったため、意図された効果は検証されていませんでした。

これが変化し始めたのは2009年でした。4月7日にNERCが公表した内容では、海外のエンティティからターゲットにされたマルウェアのインスタンスが、配電網に取り残されたという警告をStuxnetによる攻撃について、もう1つ別の事例を紹介します。

Stuxnetの目的は、米国の配電網を危険にさらし、重要な詳細情報を悪意のあるエレメントに送信することだと推測されます。その実例については、過去何度も目にしたことがありますが、Windowsでのコード実行を可能にするゼロデイ脆弱性を検出するには高度な専門知識が必要です。制御システムの攻撃方法を理解するというのは、ただならぬ量の高度な知識を実証することなのです。

一般的なSCADAシステムでは、イーサネットポートおよびUSBデバイスを介したネットワークアクセスと物理的アクセスに限界があることを、攻撃者は知っています。さらに攻撃者は、シーメンス社制御システムに関して、「SCADAシステムは制御システム領域でどのような役割を果たすか、またハードコーディングされた初期設定パスワードを検出してデータベースにアクセスする際にはどのような役割を果たすか」という点にも精通するようになっています。つまり、攻撃者の知識はさらに高度なものになった、といえるでしょう。

最終的に、攻撃者は証明書ベースのクレデンシャルを偽造します。要するに、これは異常なほど巧みな攻撃なのです。

Stuxnetからの防御方法
ではどうすれば、この攻撃から身を守れるでしょうか。マカフィーは、この特別な脅威に対処するさまざまなツールを用意しています。具体的には、この攻撃を3つの要素に分け、それぞれの解決策に取り組まなくてはなりません。

1つ目の要素はマルウェアです。マカフィーは、DATバージョン6046でStuxnetワームを検出できるようにしており、この脅威に関連するコンポーネントを検出するだけでなく、隔離します。また、McAfee Application Control（旧Solidcore）製品は、署名更新の必要なく、この脅威による感染、実行、ペイロードを防ぎます。

2つ目の要素は脆弱性です。マカフィーはWindows脆弱性の検出機能を持っており、2010年7月16日にVulnerability Managerのチェックを行いました。McAfee Vulnerability Managerを使用すると、Stuxnetに弱いシステムを検出できます。

3つ目の要素はデバイスです。主な感染メカニズムの1つであるUSBドライブは、制御システム界で広く普及しています。この攻撃デバイスは、周辺セキュリティ対策を回避するエクスプロイトを可能にするものです。McAfee Device Controlなどのツールを使用することで、PCをロックダウンして、マルウェア対策技術を内蔵した認証済みUSBデバイスのみに対応できるようになります。これにより、全体的な感染度合が減少します。

エネルギーの視点から見るStuxnet
エネルギー業界にとって、これは何を意味するでしょうか。エネルギー供給会社や電力会社は、今回の攻撃の巧みさに脅え、組織的で高度な持続型の脅威を恐れています。今回のStuxnet攻撃は、エネルギー業界の安全確保の重要性を、まさに浮き彫りにしています。また、制御システムセキュリティとITシステムセキュリティのギャップを埋めていくことが、今後のセキュリティベンダーに課せられた課題といえるでしょう。