2012年7月17日火曜日

イランの核施設を狙ったアメリカとイスラエルのサイバー攻撃「Stuxnet、Flame、Flamer」

  • このエントリーをはてなブックマークに追加
以前、Flame、Flamer、もしくはsKyWIper(Win32/Flamer.AとしてESETに検知されたもの)という名で知られるマルウェアの大きなニュースがありましたが、その後6月1日に以下のニュースが流れました。

「イランの核施設に対する破壊的なサイバー攻撃は米国とイスラエルの両専門家によって行われた。また、その計画はオバマ大統領によって秘密裏に進められた。」(Washington Post)

背景を少し説明すると、その攻撃はStuxnetのもので、Stuxnetは「Stuxnet Under the Microscope」というESETのホワイトペーパー(85ページからなるPDFドキュメント)の中で詳しく紹介されているマルウェアの一部です。


Stuxnetの目的はNew York Timesが「この手の攻撃で最新の出来事は、世界中でStuxnetが検知された数週間後、ウラン精製のために回転していたイランが所有する5,000の遠心分離機のうち1,000機を一時的に麻痺させた」と報じるように、イランの核施設を攻撃し破壊するものでした。

もちろん、怒りのもとに拡散された他の悪意のあるコードと同様、Stuxnetは公共の知識および財産になり、犯罪者や狂気の人・国家やハッカーによって悪用される運命にありました。同じことが、ESETのマルウェア研究者でドイツのコードについて書いているRobert Lipovskyと、中国のコードの危険性について研究しているAlexis Dorais Joncasが3月に発表した他国の政府でのトロイの木馬についても当てはまります。

これらのことに関連した話で、多くのアンチウイルス研究者たちが次のNew York Timesの記事を一笑に付しました。

「このプログラムの概要が2010年の夏に意図せずに公になったのだが、それはプログラムの不具合が原因で、その不具合によってイランのナランツ工場から外部へ漏れ、インターネットで世界中に拡散した。」

はっきりさせますが、プログラムの不具合がStuxnetを外部に漏らした必要充分な要因ではありません。

結果的に、稼働しているシステムから悪意のあるプログラムの感染をいつ確認したとしても、それは世界へ伝えるためのオプションを持ったにすぎず、実際はIran's Computer Emergency Response Teamが5月28日に(公にする前にコードの分析の完了を望んでいた研究者たちからの告知がトリガーとなり)発表したFlameが原因です。

更に言えば、誰が悪意のあるコードを作って稼働させても、もしくはコードを見つけたとしても、誰もが複製し、拡散し、または販売し、改変できます。デジタル製品に対して物理的な構造に関係なく自分のやりたいことを容易に仕掛けられるのです。

Flameマルウェア:ESETセキュリティブログ

不運にもNew York Timesの記事は、数十年前にAV研究者たちによって広められた、狂った信念 -- それは「私は不具合がなく、拡散した後も自分で制御でき、不安な要素など無いプログラムコードを書く事ができると信じている」と纏められた誤った概念 -- のように人々の心に残ります。

そもそも多くの人が多くの時間をかけてそれに取り組んだが誰も成功しませんでした。この経験により、私たちは、広まった拡散しやすいマルウェアは公に広まる運命にあるという自信満々の予測が出来ます。それは、悪意のあるコードに関係したことのある人なら誰でも、それが作られた場所から外部に漏れたとしても、それを制御することがいかに大変かを知っているからです。

ざっくばらんに言うと、マルウェアが作られた後に制御するのは難しく、アンチウイルスの研究所にいる人に尋ねるしかありません。実際、悪意のあるコードに対して立ち向かい続ける人々のことをStuxnetを作った人が耳にしたとしたら、世界でトラブルの発生数と対策費用が縮小していったかもしれません。

それどころか、思考の傲慢さが勝り、Stuxnetは悪意を持った犯罪者や国家への贈り物になってしまいました。

Stuxnetからのコードが別の場所に現れるのは必然でした。同じことがFlamerでも言えると思います。

つまり、実際のところ、国家が悪意のあるコードを作るために費やす国家予算の全てが、悪意のある犯罪者や国家への贈り物になるのです。

次のようにイメージしてみてください。

「あなたは革命的なロケットランチャーや地対空ミサイルを作り、軍隊に発射するのだが、その全ての製造設計書と取扱説明書をパブリックドメインの中の誰もがダウンロードできるあなたのWebサイト上で公開しているのである。さらに、フリーダイヤルで誰もがツールと材料を送料無料で入手でき、独自のミサイルを作れるのだ。国家のためとはいえ、悪意のあるコードを作るのはただのバカ者ではない、大いにバカ者である。」

最近発覚した、明らかに悪意を持った国家が支持したサイバーテロリストの最新のマルウェアであるFlamerに関する唯一の良いニュースは、もうすぐあなたにとって脅威ではなくなるかもしれない、というものです。

あなたが中東の政府の公務員か、それらの政府のために働く武器の研究者でもない限りは、Flamerのターゲットにはなり得ません。Flamerがすぐにインターネット上に「出て」、国から国へ拡散していくことはありません。Outlookの受信トレイにStuxnetが添付されたメールを発見することもありません(USBメモリがFlamerの感染経路のひとつとして考えられますが)。

また、あなたが優良なアンチウイルスソフトを導入しているなら、既にあなたはFlamerの脅威から守られています。主要なAV製品はFlamerを検知するようアップデートし、良い製品は「Flamerのような」性質を持つマルウェアにも対応していると推測します。

恐らく、より重要で強調すべきことは、USBメモリからのマルウェアの感染を防ぐようデバイスのコントロールをしつつ、エンドポイントセキュリティを導入しているようなセキュリティ対策のベストプラクティスをフォローしている組織は、今日の私たちに脅威を与えるような悪意のあるマルウェアの攻撃のほとんどから、より強固に守れているということです。

Flamerのコードを「発見する」までの時間に関して、AV関係のコミュニティで異常なまでに心配する声があるにもかかわらず、現在のセキュリティ標準を適用しているシステムも感染すると主張する人を知りません。

簡単で安価、もしくはやや複雑な方法で90%のセキュリティの脆弱性を保護できるという最新の研究結果があります。この研究結果は、精巧な新しいマルウェアの攻撃に関するメディアの誇大な報道に不安にさせられる企業や消費者にとって良いニュースです。


出典:blog.eset.com
ESETロゴ:ESETセキュリティブログ
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る