(回答先: 投稿者 虹の仙人 日時 2011 年 12 月 02 日 12:58:50)

原発を乗っ取るコンピュータウイルスはどう侵入したのか
http://www.itmedia.co.jp/enterprise/articles/1109/02/news080.html
2010年に発見された「Stuxnet」は、イランの原子力発電所の乗っ取りを狙ったといわれ、ITセキュリティの世界を震撼させた。システムへの不正侵入はどのように行われたのかをCheck Pointが解説している。
[國谷武史，ITmedia]
　2010年のITセキュリティ業界を震撼させた出来事の1つが、「Stuxnet」と言われるコンピュータウイルスの感染被害である。Stuxnetが標的にしたのはイランにある原子力発電所の制御システムだとされ、コンピュータウイルスの脅威がこうしたシステムでも例外ではないことが現実化した瞬間だった。Check Point Software Technologiesでセキュリティエバンジェリストを務めるトーマー・テラー氏が、同社のカンファレンスでStuxnetの分析結果を説明した。
　Stuxnetは、電気やガス、水道といった社会インフラのシステム、また、工場の生産管理システムなどに海外で広く導入されている「SCADA」システムの不正操作を狙ったものと言われている。SCADAのような制御系システムは、通常のコンピュータのようにインターネットに接続されることがなく、ウイルスの侵入が難しいと考えられてきた。しかし現実に感染が明らかになり、セキュリティ業界のベンダーや研究者が分析したところ、幾重もの手順を踏んでSCADAへの感染に成功したことが分かった。
　実際にシステムがStuxnetによって不正に操作されるような事態にはならなかった。しかし、仮に悪意を持つ人物が原子力発電所の制御システムの乗っ取りに成功したとすれば、どのような事態に陥るかは想像に難くないだろう。Stuxnetがもたらす脅威は、幸運にも“一歩手前”で回避されたともいえる。
侵入から感染までは3ステップ
Stuxnetの侵入経路イメージ
　Stuxnetが標的にした制御システムは、Programmable Logic Controller（PLC）と言われる専用装置で、PLCをWindowsマシンにインストールしたSCADAで制御するという。PLCを制御するマシンはLAN内だけで運用される場合がほとんどであり、外部からそこに至るには幾重にも張り巡らされたセキュリティ対策をかいくぐらなければ不可能である。テラー氏によると、StuxnetがPLCを不正操作できる状態になるまでに、大きく3つのステップが取られたという。
　最初のステップが、外部からネットワーク内への侵入である。侵入経路はUSBメモリなどのリムーバブルメディアの可能性が高いという。ネットワーク上のコンピュータにリムーバブルメディアが接続され、当時は未知であったWindowsのショートカットリンクの脆弱性、もしくはオートラン（自動実行）機能を悪用し、ウイルス本体を隠してネットワーク内に侵入した。
　Stuxnetを格納したリムーバブルメディアがネットワーク内に持ち込まれた理由は定かではないが、「密かに悪意を持った人物が関係者にUSBメモリを手渡しかもしれないし、攻撃者が会社の敷地内にUSBメモリを投げ込んで、それを拾った人物がうっかり接続してしまったかもしれない」（テラー氏）というように、あらゆる可能性が想定されている。
　次にStuxnetは、LAN内で感染先を広げる。インターネットに接続できるコンピュータに感染すると、P2P機能が実行され、外部からのコマンドを受信して実行したり、別のプログラムを密かにダウンロードしたりする。外部にいる攻撃者は、感染したコンピュータを踏み台にしてLAN内での行動範囲を広げながら、PLCを制御するコンピュータに接近し、そして感染させる。
PLCを不正に操作する際にも自身を隠す仕組みだった
　PLCを制御するコンピュータでは感染の検知が難しいという。上述のように、制御システムは外部から侵入されにくいとみられてきたことから、コンピュータ上の対策が手薄になっている場合が多い。また、StuxnetにはSCADAとPLCとの間で交わされるコマンドを書き換え、ユーザーに気付かれないようにする細工もされていた。最終的にStuxnetのプログラムには不備があり、PLCが不正に操作されることはなかったが、不備さえなければ攻撃者は、いつでもPLCを自在に操れる状態になった。
いつでも実行可能
　Stuxnetがイランを標的したとされるのは、イランで多数検知されたという状況証拠でしかない。Stuxnetの動作や構造、また、同国をめぐるさまざま情勢から原子力発電所が最終目標となったと推測されている。Stuxnet自体は米国や欧州でも検知報告があり、SCADAを利用するシステムはいつでも攻撃者に乗っ取られるリスクを抱えていたことになる。
　同社ではStuxnetを数万件以上検知したというが、1000件ほどについては、ほかのウイルス対策では全く検知できない状況だったという。またStuxnetは、セキュリティ業界で全く把握されていなかった複数の脆弱性を悪用するようにもなっていた。Stuxnetは、このように最終目標に到達するために巧妙かつ複雑な感染手法を備えている点が特徴であるという。
Stuxnetの検知数はイランだけが異様に多かったという
　テラー氏は、「Stuxnetによって極めて重要性の高いシステムへの不正侵入方法が実証されてしまった。今後、攻撃者はStuxnetの経験を応用するようになるだろう」と警鐘を鳴らしている。
　

コメント
01. 2011年12月02日 15:37:26: 5D2WS5O3LU １９７０年代には、あの、アップル社の創業者である２人組は、ブルーボックスなるものを作ってタダ電話をかけていた。また、それを販売していた。 電話の交換機の制御コードが公開されていたからである。このようなミスはアメリカの電電公社でも起こしうるという事である。 人間のやることには必ず欠陥がある。 SCADAというシステムも共通性があるので狙われるのであろうが、共通性のないシステムはおそらくバグだらけで使えないだろう。これまでに構築されてきた財産が使えないから。 また、ネットから隔離されたシステムはウイルス駆除ソフトは入っていない可能性が高い。また、入っていたとしてもソフトの更新はどうなるのであろう。一般に売っていない独自のウィルス対策ソフトを自前で作れるだろうか。

この記事を読んだ人はこんな記事も読んでいます（表示まで20秒程度時間がかかります。）
★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):
　重複コメントは全部削除と投稿禁止設定 　ずるいアクセスアップ手法は全削除と投稿禁止設定 削除対象コメントを見つけたら「管理人に報告」をお願いします。　最新投稿・コメント全文リスト
フォローアップ:

• 殺人犯に殺人犯の素性を聞くかのやうなギヤグのやうな話 不動明 2011/12/02 20:00:23 (0)

　次へ 　前へ

▲このページのＴＯＰへ　　　　　 ★阿修羅♪ > 原発・フッ素18掲示板

★阿修羅♪　http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。