STUXNETとは何ですか?

 「STUXNET」とは、2010年7月に最初に確認されたマルウェアファミリです。このファミリは、特定の脆弱性を利用して感染活動や自身の不正活動を実行することから話題になりました。このファミリが確認されて以来、セキュリティ企業と同様にメディアもこの脅威に注目してきました。というのも、「STUXNETは、他の多くの不正プログラムとは異なり、重要なインフラを対象として設計されたものである」ということが確認されたからです。

STUXNETはどのような活動をしますか?

 STUXNETは、主に3つのコンポーネントにより構成され、それぞれが「ワーム活動」・「ショートカットファイル」・「ルートキット」といった機能を備えています。

 「WORM_STUXNET」は、この脅威の主となり、破壊活動に関連するすべての不正活動を実行します。このワームは、特定の脆弱性を利用し、感染活動および特定の活動を実行します。ワームは、ネットワーク上の異なるマシンで処理を実行するプロトコル「Microsoft リモート・プロシージャ・コール (RPC) 」を利用して特定の機能を実行します。これにより、2台の感染コンピュータが互いに通信できるようになります。また、このワームは、感染コンピュータのインターネット接続がアクティブかどうかを確認し、リモートサーバに接続します。さらにこのワームは、「Siemens SIMATIC WinCC」のシステムで使用されるデータベースにアクセスします。

 「LNK_STUXNET」は、特別に細工されたショートカットファイル(拡張子LNK)です。この不正なLNKファイルは、「WORM_STUXNET」が作成した自身のコピーを自動実行します。また、この不正プログラムは、このアイコンが感染したコンピュータの画面上に表示されると任意のコードを実行し、脆弱性を悪用します。そのため、通常、STUXNETによって不正なファイルの自動実行のために利用されます。

 「RTKT_STUXNET」は、すべてのファイルおよびプロセスを隠します。この機能により、ユーザは、感染に気付かないままとなります。

STUXNETは、どのようにして感染を広げますか?その際、どのような脆弱性を利用しますか?

 STUXNETによる攻撃がこれほど問題になった理由の一つに、複数の経路を介した感染活動が挙げられます。

 1つ目に、STUXNETは、「MS10-046:Windows シェルの脆弱性により、リモートでコードが実行される(CVE-2010-2568)」を利用します。これにより、自動実行機能を無効にしていても、リムーバブルドライブを介して感染活動が実行されてしまいます。

 2つ目に、STUXNETは、「MS08-067:Server サービスの脆弱性により、リモートでコードが実行される(CVE-2008-4250)」を利用します。これにより、ワーム「DOWNAD」ファミリと同様の方法でネットワークを介して感染活動を行います。

 3つ目に、STUXNETは、「MS10-061:印刷スプーラー サービスの脆弱性により、リモートでコードが実行される(CVE-2010-2729)」を利用します。これにより、コンピュータがネットワークを介してプリンタを共有している場合、ネットワークを経由して感染活動を行ないます。

 この脅威において、これら3つの脆弱性それぞれの利用が最初に確認された時点で、「MS10-046」および「MS10-061」に対応する修正パッチはまだ公開されていませんでした。

 註:現在、これらすべての脆弱性に対応する修正パッチが公開されています。そのため、これらの修正パッチを適用しているコンピュータは、簡単に感染の被害に遭うことはありません。MS10-061の脆弱性は、匿名のユーザが共有プリンタを使用できる場合にのみ利用されます。初期設定では、Windows XPが対象となりますが、それ以降のWindowsバージョンは対象となっていません。また、ショートカットの脆弱性は、リムーバブルドライブ内のファイルを確認しようとアイコンを表示しただけで利用されてしまうため、最も利用されやすい脆弱性といえるでしょう。

 さらに、STUXNETは、別のWindowsの脆弱性2つを利用してコンピュータの管理者権限を得ます。これらの脆弱性は、この記事の執筆時点ではまだ未修正となっています。Windowsショートカットの脆弱性は、攻撃者がカレントユーザと同じ権限を有している場合にのみ悪用され、コードの実行が可能です。そのため、STUXNETは、これら2つの脆弱性を利用してコンピュータの管理者と同様の権限を取得し、Windowsショートカットの脆弱性を悪用できるようにするのです。

STUXNETは、どのようにP2Pを利用しますか?

 STUXNETは、MS08-067の脆弱性を利用することにより、すべての感染コンピュータにリモート・プロシージャ・コール (RPC)用のサーバコンポーネントおよびクライアントコンポーネントをインストールします。これにより、感染コンピュータは、接続可能なクライアントコンピュータで以下の機能を実行できるようになります。

・ワームのバージョンの取得
・モジュールの受信および組み込み
・不正なファイルの送信
・コマンドシェルまたはファイルを操作できるようプロセスの作成
・ファイルの作成
・ファイルの削除
・ファイルの読み込み

 すべての感染コンピュータは、Universally Unique Identifier(UUID)に「000204e1-0000-0000-c000-000000000046」を使用するよう設定されます。このIDを用いることにより、STUXNETに感染したコンピュータ同士による相互の認識や通信、更新といったことが可能になります。

STUXNETはリモートサーバに接続しますか?

 はい、接続します。STUXNETは、リモートサーバに接続する際、まず、以下の無害なURLにアクセスし、インターネットに接続されているかを確認します。
•www.windowsupdate.com
•www.msn.com

 STUXNETは、接続を確認すると以下のURLにアクセスし、不正リモートユーザからのコマンドを送受信します。
•www.<省略>erfutbol.com
•www.<省略>futbol.com

 その後、以下のURLを作成し、サーバ上で公開します。
•http://www.<省略>erfutbol.com/index.php?data=<データ>
<データ>とは、コンピュータのIPアドレス、コンピュータ名、およびドメイン名を含む暗号化された16進法値です。

STUXNETは、SCADAシステムとどのような関連がありますか?

 STUXNETは、その特徴から、一般ユーザのコンピュータを対象とするために設計されたのではないことが考えられます。

 解析により、「WORM_STUXNET.A」は、<Windowsシステムフォルダ>内で、Siemens SIMATIC WinCCシステムに利用される正規のDLLファイル "S7OTBXDX.DLL" を検索することが明らかになっています。ワームは、このDLLファイルを確認すると、ファイル名を "S7OTBXSX.DLL" に変更します。その後、新たなDLLファイルを "S7OTBXDX.DLL" として作成し、オリジナルのDLLファイルと置き換えます。新しく作成されたDLLファイルは、オリジナルの正規ファイルと同じエクスポート機能を備えていますが、以下の機能に関するコードが変更されています。

・s7db_open
・s7blk_write
・s7blk_findfirst
・s7blk_findnext
・s7blk_read
・s7_event
・s7ag_test
・s7ag_read_szl
・s7blk_delete
・s7ag_link_in
・s7db_close
・s7ag_bub_cycl_read_create
・s7ag_bub_read_var
・s7ag_bub_write_var
・s7ag_bub_read_var_seg
・s7ag_bub_write_var_seg

 これらの機能は、通常、制御装置である「プログラマブル・ロジック・コントローラ(PLC)」上のコードブロックへのアクセス、読み込み、書き込みおよび削除に使用されます。感染コンピュータでこれらの機能が呼び出されると、STUXNETは、"S7OTBXSX.DLL" の本来の機能を呼び出す前に追加コードを実行します。このことから、STUXNETは、これらの機能を傍受することにより、PLCとのデータのやりとりを変更できるといえます。

 また、STUXNETは、セキュリティソフトに関連する特定のプロセスを検索し、確認したプロセスに自身を組み込みます。

 STUXNETは、コンピュータに完全にインストールされると、「Siemens SIMATIC WinCCのハードコーディングされたパスワードが使用される」脆弱性を利用し、WinCC SQLサーバのバックエンドSQLデータベースにアクセスします。

 この脆弱性の詳しい情報については以下をご参照ください。
CVE-2010-2772(英語情報のみ)

 この脆弱性により、WinCCサーバからプロジェクトのデータベースおよびプロジェクト情報を閲覧できるようになります。また、STUXNETは、SQLコマンドを使用して環境設定を変更したり、ファイル "<All Users>\sql%05x.dbi" へのアクセス、または削除といった機能も備えています。DBIファイルは、データベースエクスプローラの情報ファイルです。このファイルを削除することにより、STUXNETは、自身がデータベース上で行った変更の形跡を隠蔽するようです。

この脅威は対象を定めて仕掛けられた攻撃ですか?

 この脅威は特定の対象に狙いを定めた攻撃のようです。STUXNETの主要な不正活動の一つは、PLCコマンドを用いて実行されますが、このコマンドは、特定のハードウェア環境設定のコンピュータ上でのみ実行されます。そのため、STUXNETの作成者は、特定の環境設定がなされたコンピュータを狙って攻撃を仕掛けたと推測できます。

この脅威は誰を対象としていますか?

 誰が攻撃対象であったかについては不明です。「STUXNETの被害に遭った」と名乗り出た人は確認されておらず、また、世界のSCADAシステムそれぞれのハードウェア環境設定を正確に把握することも不可能です。「イランを標的にしているのでは」という見解もありますが、やはり、憶測の域を超えません。イランでSTUXNETによる感染が広がったのは、標的型攻撃を受けたからではなく、他の要因により招かれた結果であると考えられます。トレンドマイクロは、STUXNETによる被害報告が多い国では、「DOWNAD」ファミリによる被害件数も多くなっている点に留意しています。

誰がこの攻撃を仕掛けたのですか?

 誰がこの攻撃を仕掛けたかについては不明です。この攻撃の標的について不明な点が多々ありますが、それにも増して手掛かりをつかめていないのが、「誰がSTUXNETを作成したのか」ということです。STUXNETの作成者について知ることのできるコード部分には、作成者を特定できるものが含まれていないのです。

 分かっているのは、「この攻撃の裏に潜む者が誰であろうと、このサイバー犯罪者はSCADAシステム、特に標的としたシステムに精通していた」ということです。また、1つのマルウェアファミリが複数の脆弱性を利用する機能を備えていた事例は、これまでにこのSTUXNETでしか確認されていないため、STUXNETの作成者は他の一般的なサイバー犯罪者より高度な知識を備えていたといえます。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

 この攻撃を仕掛けたサイバー犯罪者についての手掛かりがほとんどないため、サイバー犯罪者を特定することはほぼ不可能なようです。「高度な知識を備えたサイバー犯罪者」と「標的は不明」という手掛かりからは、この攻撃を仕掛けたサイバー犯罪者について明確な答えを見出すことができないようです。

 しかしながら、STUXNETに備わっている、「SCADAシステムへ送信するコマンドを変更する」機能が重要な点となります。SCADAを導入した産業システムがSTUXNETにより攻撃を受けた場合、サイバー犯罪者が送信する不正なコマンド次第で、損傷を受けるか、または完全に破壊される可能性があります。

コンピュータを攻撃から守るにはどうすればいいのですか?

 SCADAシステムをご利用でない個人ユーザおよび企業ユーザがこの脅威による受けるリスクは、比較的低いといえます。これらユーザにとっての大きな脅威は、STUXNETが他の攻撃のきっかけとなり、このマルウェアファミリとは関係のない攻撃が仕掛けられることです。例えば、STUXNETによるWindowsショートカットファイルの脆弱性利用が確認されてから間もなく、「ZBOT」関連の不正プログラムや「SALITY」というウイルスがこの脆弱性を悪用したことを確認しています。また、最近のSTUXNET関連の報道により、このファミリは、ソーシャルエンジニアリングの手口にも利用されるようになったようです。2010年9月下旬には、「STUXNET」を検索語とした検索エンジンでの検索結果に不正なURLを表示し、ユーザを偽セキュリティソフト型不正プログラム「FAVEAV」へ導くというSEOポイズニング(悪質なSEO対策)の事例が確認されています。

 SCADAシステムをご利用の企業ユーザは、このシステムのセキュリティ対策を見直していただくことをお勧めします。少なくとも脆弱性を悪用した攻撃から身を守るために、これらのシステムの更新が必要です。また、今後も同様の脅威が発生することが予想されるため、セキュリティ対策ソフトを常に最新の状態にしておくことも重要です。

 トレンドマイクロでは、STUXNETが問題となる以前に、SCADAシステムの抱えるセキュリティ問題について以下のブログで取り上げています。


トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

 トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「Web レピュテーション」技術により、SEOポイズニングといった新たな「Webからの脅威」をブロックします。また、「ファイルレピュテーション」技術により、この脅威に関連するすべての不正プログラムを検知します。

 SPNは、トレンド独自のクラウド型技術と軽量のクライアントアーキテクチャを組み合わせたもので、これにより、利用者がどこで接続していてもその個人情報が即座に自動的に保護されます。

 トレンドマイクロでは、Windowsショートカットファイルの脆弱性を利用するワームを以下として検出します。


 今回の脅威に関連する不正なショートカットファイルの検出名は以下の通りです。


 今回の脅威に関連するルートキットは、「RTKT_STUXNET.A」として検出されます。

 また、「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」を組み合わせた「ウイルスバスター コーポレートエディション」をご利用のユーザは、最新のフィルタに更新することにより、この脆弱性を利用する関連攻撃から守られています。
感染の確認方法
 今回の脅威によりご使用のコンピュータが感染していないかどうかを確認するには、以下のツール・製品の使用をお勧めします。

Trend Micro HouseCall」 - 無償の不正プログラム検出ツール
ウイルスバスター2011 クラウド」 - 個人のお客様向け体験版
ウイルスバスター コーポレートエディション」 - 法人のお客様向け体験版