Stuxnet ～制御システムを狙った初のマルウエア～

Size: px

Start display at page:

Download "Stuxnet ～制御システムを狙った初のマルウエア～"

りえつくとの
5 years ago
Views:

Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2011.

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :44:17 +09'00' Stuxnet 制御システムを狙った初のマルウエア JPCERT/CC 小熊信孝

2 目次 1. 発見から分析までのニュース 2. Stuxnet と動作の概要 3. Stuxnet の教訓 4. 参考 2

3 発見から分析までのニュース Stuxnet の発見 2010 年 6 月 17 日 : ベラルーシに拠点を置くアンチウイルス会社 VirusBlokAda 社がマルウエアのサンプルを発見 ( 当初この報告は世界的には注目されなかった ) Google Earth 3

4 発見から分析までのニュース Stuxnet の発見 4

5 発見から分析までのニュース Stuxnet の発見 2010 年 7 月 15 日 : セキュリティブロガー Brian Krebs が VirusBlokAda 社の発見を報告 2010 年 7 月 16 日 : Siemens 社がサポートサイトに情報を掲載 2010 年 7 月 16 日 :VeriSign が Stuxnet に使われたコード署名用の証明書を無効化 Google Earth 2010 年 7 月 16 日 :Microsoft から関係する最初のセキュリティアドバイザリ ( ) が公開 (Windows シェルの脆弱性 ) 5

6 発見から分析までのニュース Stuxnet の影響 2010 年 10 月 3 日 : イランの国営テレビ各局は 2 日インターネットを通じイランの核計画を妨害しようとした核スパイ数人が逮捕されたと報じた (AFP) 2010 年 9 月 28 日 : イラン鉱工業省の情報技術部門幹部の話によるとイランが海外から大規模なサイバー攻撃を受けており産業用パソコン約 3 万台に感染が見つかった ( トレンドマイクロ ) Google Earth 2010 年 9 月 29 日 : Virus Bulletin のカンファレンスでシマンテックが Stuxnet に関する詳細レポートを報告 6

W32.Stuxnet Dossier http://www.symantec.

7 発見から分析までのニュース Stuxnet の分析 2010 年 11 月 12 日 :Stuxnet の攻撃対象とメカニズムを解明しレポート ( シマンテック ) W32.Stuxnet Dossier Google Earth 7

イランのアハマディネジャド大統領は同国のウラン濃縮施設の遠心分離機がコンピューターウイルスに感染していたことを明らかに ( ロイター ) 2010 年 11 月 16 日 :IAEA

8 発見から分析までのニュース Stuxnet の影響 2010 年 11 月 23 日 :IAEA の天野事務局長は理事国に配布したイラン核問題に関する報告書で同国が 16 日にウラン濃縮活動を一時的に停止したことを明らかにした ( 時事通信 ) Google Earth 2010 年 11 月 29 日 : イランのアハマディネジャド大統領は同国のウラン濃縮施設の遠心分離機がコンピューターウイルスに感染していたことを明らかに ( ロイター ) 2010 年 11 月 16 日 :IAEA によりイラン中部ナタンツのウラン濃縮施設で約 8400 台の遠心分離機がすべて停止していることが確認される ( 毎日.jp) 2010 年 11 月 22 日 : イランは 22 日までに約 4600 台が再稼働したことを IAEA に報告 ( 毎日.jp) 8

9 Stuxnet と動作の概要 Stuxnet の構造亜種を含めて 4 種類のバイナリが存在するがいずれもパッケージ化された状態で 500~600K バイトのサイズ一般的なワームと比べて特別大きいわけではない環境に応じて動作を変え多様な形態をとって標的システムに展開 C&Cサーバと通信して動作を変え自身を最新版に更新 StuxnetのP2P 網を介しても自身を最新版に更新 PLCを制御するWinCC/PCS7 (Siemens 社製 DCS) や PLCにも侵入 ( コード書換え ) [ 用語解説 ] C&C サーバ (Command and Control server) マルウェアに対して動作指令を出すためにインターネット上にマルウェア作者が設置するサーバ. 9

10 Stuxnet と動作の概要 Stuxnet の動作概要 1) 標的組織に感染複数の脆弱性リムーバブルメディア 2) 自己更新最新化と攻撃の拡張 3) 標的システムに感染特定の環境のみが対象 4) 本攻撃特定の産業施設を制御まずは社内網に深く深く侵入侵入後でも必要なら Stuxnet の本体を更新標的が見つからないと沈黙標的が見つかれば秘かに悪事 10

11 Stuxnet と動作の概要 Stuxnet の動作 ~ 標的組織に感染 Windows システム上で感染範囲を拡大 2000, XP, 2003, Vista, サーバ 2008,7, サーバ 2008R 感染率の高い地域に偏りがある ( 理由は不明 ) イランや中国で多数の感染 PC が報告されている幸い日本では皆無に近い Windows の複数の脆弱性を利用するなど複数の方法で感染させる利用された複数のゼロデイ脆弱性 ( 次のシート参照 ) 感染方法 ( 後述 ) 一旦感染に成功すると検知されないようにして延命をはかる自身を隠蔽するために rootkit をインストール Mcshield.exe や avguard.exe など Windows のセキュリティ関連プロセスを終了させる標的組織に感染自己更新標的システムに感染本攻撃 11

12 Stuxnet と動作の概要 Stuxnet の動作 ~ 標的組織に感染拡散に悪用された脆弱性脆弱性の内容 $5 万 ~ $50 万? セキュリティアドバイザリ公開日 Windows シェルの脆弱性によりリモートでコードが実行される印刷スプーラーサービスの脆弱性によりリモートでコードが実行される Server サービスの脆弱性によりリモートでコードが実行される Windows カーネルモードドライバの脆弱性により特権が昇格されるタスクスケジューラの脆弱性により特権が昇格される MS ゼロデイ MS ゼロデイ MS MS ゼロデイ MS ゼロデイ 12

13 Stuxnet と動作の概要感染状況の報告地域別ホストの感染比率 ( 現在 ) 155 を越える国の 40,000 以上のホストにおける割合出典 :W32.Stuxnet Dossier, Symantec 13

14 Stuxnet と動作の概要感染状況の報告 ( つづき ) ターゲットのソフトウエアがインストールされたホストの感染比率 ( 現在 ) 出典 :W32.Stuxnet Dossier, Symantec 14

15 Stuxnet と動作の概要感染状況の報告 ( つづき ) 出典 : カスペルスキーマルウェアマンスリーレポート : 2010 年 9 月 15

16 Stuxnet と動作の概要 Stuxnet の動作 ~ 自己更新社内網からインターネットへのアクセスが可能なら感染したStuxnetはインターネット上のC&Cサーバに接続して命令を受け取り自身を更新することも可能間接的にインターネットにインターネットへのアクセスが可能で, 途中にも感染した Stuxnetが存在すれば P2P 通信を介して自身を最新版に更新できる C&C サーバ Update 手を変え品を変えて長期間にわたる執拗な攻撃が可能イントラネット内で収集した情報をアップロードするような拡張も容易 Update Stuxnet Update Stuxnet 標的組織に感染自己更新標的システムに感染本攻撃 Update Stuxnet 社内網 16

17 Stuxnet と動作の概要 Stuxnet の動作 ~ 標的システムに感染ネットワーク接続があればネットワーク経由 Windowsのネットワーク共有を悪用する方法印刷スプーラーの脆弱性を悪用する方法サーバサービスの脆弱性を悪用する方法標的組織に感染自己更新標的システムに感染本攻撃ネットワーク接続がなくてもリムーバブルデバイス経由 (USBスティックメモリ,etc.) autorun.infを利用する方法.lnk 脆弱性を利用する方法クローズド網でも保守用 USB メモリや PC が感染経路になる AutoRun.inf を無効化する ( セキュア USB メモリ等 ) だけでは防げない 17

18 Stuxnet と動作の概要 Stuxnet の動作 ~ 本攻撃 Stuxnet の標的は : Siemens 社製 DCS である SIMATIC WinCC/PCS7 配下にある特定の PLC 標的組織に感染自己更新標的システムに感染本攻撃 WinCC が見つかると Stuxnet の攻撃動作が始まる参考 :Siemens 18

19 Stuxnet と動作の概要 Stuxnet の動作 ~ 本攻撃 WinCC ソフトウエアを発見すると開発元によってシステム内にハードコードされたパスワードでログインする WinCC ソフトウエアの SQL データベースにテーブルを生成し書き込んだバイナリデータで WinCC サーバを感染させる PLC に送られる STL を書きかえるとともにそれを隠すために WinCC の PLC との通信機能に目隠しを挿入 PLC 上のすべてのコードブロックを表示しようと試みても Stuxnet によって挿入されたコードは表示されない 19

20 Stuxnet と動作の概要 Stuxnet の動作 ~ 本攻撃 Stuxnet が制御を乗っ取る ( 最終目的 ) 1. 特定の条件に合致することを確認 : 特定のベンダーの特殊な周波数変換ドライブがあるモーターの動作周波数が 807 Hz ~ 1210 Hz 2. 条件に合わなければ何もしない 3. 条件に合えば Stuxnet が PLC を制御して本来の動作とは異なったプロセスを行わせる 4. ターゲット装置のセンサーが出す警告信号を止める指令を出して誤作動に気付かせない 20

21 Stuxnet と動作の概要 Stuxnet の動作 ~ 本攻撃狙いは, 特定のシステムの破壊または操業妨害 PLC 通信モジュール高周波コンバータ出力周波数 807~1210Hz の周波数変換装置のみ攻撃例えば原子炉のウラン濃縮用遠心分離機実害 ( 故障多発 ) 発生の報道非常に高速のため用途が限られる出典 :W32.Stuxnet Dossier, Symantec 21

22 Stuxnet の教訓 Stuxnet が打ち砕いた安全神話制御システムはサイバー攻撃と無縁だ制御システムをインターネットと切り離しておけば 100% 安全だ特殊なシステム構成だから外部にいる攻撃者に分かるはずない新品の USB メモリだけを使っていれば安全だマルウェアが感染するとコンピュータ自体の動きが異常になる ( 制御システムは異常停止しない限り, 稼働させ続ければよい ) 22

23 Stuxnet の教訓 Stuxnet の教訓 Stuxnet における事実脆弱性を衝いて侵入された開発者は標的の制御システムを知り尽くしていたと見られる Stuxnet に耐えるために求められるもの脆弱性を作り込まない技術力事前に脆弱性を除去しておく組織力部分的に多少の脆弱性があっても耐えられる ( 多層防御 ) ようにシステムを構成しておく技術力システム構成に関する情報が攻撃者に知られても耐えられる防衛ラインを作り込む技術力特定の環境でのみ攻撃動作異常を検知する眼力 ( 人 ) 異常を HMI で表示されないよう隠蔽今でも Stuxnet を知らない制御システム運用者も少なくないゼロデイ脆弱性が悪用されているので, 普通の復旧では再び侵入される制御システムの異常も疑ってみて総合的に判断する眼力 ( 人 ) 情報収集のための組織力すみやかなシステム復旧と業務継続のための戦略 23

24 Stuxnet の教訓 Stuxnet の教訓防御検知復旧策ベンダ脆弱性を作り込まない技術力制御システム用侵入検知システム多層防御を構成しておく技術力ユーザー支援サービス / 連携ユーザ事前に脆弱性を除去しておく組織力情報収集のための組織力防衛ラインを作り込む技術力異常を検知する眼力 ( 人 ) 制御システムの異常も疑ってみて総合的に判断する眼力 ( 人 ) すみやかなシステム復旧と業務継続のための戦略 24

25 参考 Symantec: Win32.Stuxnet Dossier ESET: Stuxnet Under the Microscope Siemens: Information concerning Malware / Virus / Trojan F-Secure Blog IBM-ISS: An inside look at Stuxnet US-CERT: Control Systems Security Program(CSSP) 25

26 ご清聴ありがとうございました余談 Stuxnet の開発にはイスラエルが関与か? それを示唆するコードの埋め込みやレジストリキーの操作 ( 諸説あり ) 現行バージョンは 2012 年 6 月 24 日に拡散を停止複数の 2010 セキュリティニュースで上位に開発したのはイスラエルと米国らしい (New York Times ) ブシェール原子力設備へのサイバー攻撃, チェルノブイリ原発事故に匹敵する大惨事につながった可能性も (AP 通信 )

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team