連載「コンピュータウイルス事件簿・事件で追うウイルス史」

2013/2/25

File:10「2010年:スタックスネット~歴史は繰り返す」

コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異的に数を増やし、いまや数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。

 最終回となるFile:10では、中東を中心に流行し、スタンドアローン環境にあった核施設内で感染を引き起こした「スタックスネット」について解説する。

スタックスネット

TYPE
:ワーム
BIRTH
:2010年
ROUTE
:USBメモリ、インターネット
GOAL
:システムの破壊

概要


 1990年代半ばより、インターネットが世界的なインフラとして浸透すると、コンピュータウイルスもそのフィールドをインターネットに広げた。そのため2010年当時、ウイルスと言えばネットを経由した感染が当たり前だった。しかし、コンピュータウイルスによる攻撃は、そのような「当たり前」と考えてしまう心理的な隙を突いてくる。


 2010年。イランにある産業関連のコンピュータ約3万台がウイルスに感染。その中には同年に稼働を開始したばかりの核燃料施設のコンピュータも含まれていた――。核施設は厳重に防御され、スタンドアローン環境下にあったにも関わらず。


 スタンドアローン環境、すなわち「インターネットと隔絶された環境にあるコンピュータがウイルスに感染するはずがない」。そうした思い込みを利用したのか、多くの人々を震撼させた「スタックスネット」の感染経路は驚くほど原始的なものだった。


感染源の正体は…?

 感染源の正体は、なんと「USBメモリ」である。


 「自宅PCで感染したUSBメモリを、業務でも使ってしまった」、あるいは「悪意のある誰かが感染したUSBメモリを施設内に置き、拾った人間が不用意に施設内のPCで使ってしまった」などがスタックスネットの感染方法として考えられている。一旦感染したウイルスは、施設内のネットワークを介して感染が広がった。


 スタックスネットは、核燃料施設の遠心分離器を停止させた。大惨事には至らなかったが、スタンドアローン環境が安全だという思い込みを改めさせるには、十分説得力のある事件であった。また使用されたウイルスの暗号化技術なども、高いものだったと言われている。かねてよりウイルスの目的については「イランの核開発を妨げるために敵対国が作ったのではないか?」という推定は専門家の間で語られていたが、2012年6月に米国とイスラエルによるサイバー攻撃だったことがニューヨークタイムズから報道された。


 こうした被害の大小はともかく、感染手口には何かデジャヴュがないだろうか? 実は連載初期のFile:1で紹介した、最も古いウイルスの1つ「パキスタン・ブレイン」も似たような感染経路を持っていた。すなわち不正・不明な外部媒体(パキスタン・ブレインはフロッピーディスク)を不用意にコンピュータで使うことが感染の原因となっているのだ。


 つまり、被害を受けたユーザ側はパキスタン・ブレインから25年経った今でも、似たような手口でだまされている。とはいえUSBメモリは非常に便利なため、業務を進める上で「全く使うな」というわけにはいかない。スタックスネットの製作者はそのことが良く分かっていたのだろう。誰もが使う外部媒体・USBメモリを使う、心理的な間隙を突いたサイバー攻撃。こうした、不注意を利用したサイバー攻撃が多く行われている現状を考えると、パターンマッチ技術の様な入口対策的なアンチウイルスだけでウイルスが侵入しないようにするのは、非常に難しいと言える。

ブレークスルーとなったウイルスとその内容
一方でアンチウイルス技術においてブレークスルーは、まだ一度も起こっていない
(クリックすると拡大します)

ウイルス史を振り返って

 ウイルスの歴史は30年ほどであり、そのなかで技術的なブレークスルーと言われるものが3回程あった。1つはFile:2クリスマスワームによる「ソーシャルエンジニアリング」、2つ目はFile:3モーリスワームの「辞書攻撃」、3つ目がFile:6Code Redの「DDoS攻撃の自動化」だ。


 特にクリスマスワームによるソーシャルエンジニアリングは、現在のウイルスなどによるサイバー攻撃には、大なり小なり、必ずと言っても良いほどその成分が含まれている。今回出てきたスタックスネットも「ウイルス=インターネット経由」という盲点をついている。


 2009年頃から頻発し、2011年には衆参両議院や防衛産業を中心に攻撃があった標的型攻撃もソーシャルエンジニアリングの最たるものだ。ソーシャルエンジニアリングにプログラムなどといった高いデジタル関連の技術は必要ない。極端な話、口先だけでシステム管理者をだまして悪意のあるソフトをインストールさせるような「詐欺師」のアナログな手口こそがソーシャルエンジニアリングになる。


 温故知新という言葉がある。今行われている攻撃は突然発生したものではなく、過去にあるサイバー攻撃の延長上にある。つまり、過去のサイバー攻撃を紐解いていくことは、これからのウイルスの傾向を知る鍵にもなる。サイバー攻撃対策に終わりはない。ならば、作られていくウイルスの情報を単に蓄積していくだけでなく、歴史を流れとして捉え、未来を予測するために活用することが、有効な対策になるのではなかろうか?

(井上宇紀)

>>新連載「人間vsコンピュータ」


【連載】コンピュータウイルス事件簿~事件で追うウイルス史 主な参考文献
『コンピュータウイルス解体新書 「財産」「情報」を狙うインターネットの脅威を徹底解剖!』瀧本往人著(I/O books、2009年)
『コンピュータウイルス事典』渡部章著(オーム社、1993年)
『コンピュータウイルスは死滅するか 企業はいかに防衛するか』長沢光男著(日本ソフトバンク、1989年)
『有害プログラム―その分類・メカニズム・対策』 内田勝也、高橋正和著(共立出版、2004年)
『Bit Vol.21』(共立出版、1989年)
ほか多数

連載執筆にあたり多大なご協力を頂きました情報セキュリティ大学院大学名誉教授の内田勝也様、経営情報コンサルタントの木暮仁様には改めて感謝の意を申しあげます。

【関連カテゴリ】

情報セキュリティ