制御システムを狙ったマルウェア「Stuxnet」って何?制御システム技術者のためのセキュリティ基礎講座(2)(1/3 ページ)

制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。2回目は、世間を騒がせたマルウェア「スタックスネット(Stuxnet)」とは何なのか、ということを解説する。

» 2013年12月26日 10時30分 公開
[佐々木 弘志 / マカフィー,MONOist]
マカフィー

 「制御システム技術者」への情報提供と注意喚起を目的としている本連載。前回の「なぜ今、制御システムセキュリティがアツいのか?」では、制御システムセキュリティが盛り上がりを見せている理由について解説した。第2回となる今回は、その大きなきっかけとなったマルウェアである「スタックスネット(Stuxnet)」について解説する。

 制御システム技術者ならば、一度は「スタックスネット」について耳にしたことがあるかもしれない。スタックスネットは、世界で最初に産業用制御システムを攻撃したマルウェアとして知られている。では「スタックスネット」はどうやって制御システムを誤動作させたのだろうか。今回は制御システム技術者に向けてこれらのポイントを中心に紹介する。




スタックスネットの概要

 スタックスネットについて初耳だという読者のために、簡単にスタックスネットの概要について説明しよう。スタックスネットは、一説には、米国とイスラエルが共同で、イランの核施設の遠心分離器を制御するシステムを破壊する目的で作成したとされるマルウェアである。

 スタックスネットが核施設の制御システムに感染するまでに想定される侵入経路を、図1に示してみた。メールや内通者を利用するなどの何らかの方法で情報ネットワークに侵入したスタックスネットは、外部のサーバに接続し情報窃取や自身のアップデートなどを行う。※1)

※1)コマンドコントロールサーバ(C&Cサーバ)とも呼ばれる。マルウェアがネットワークに侵入後にこの外部サーバと接続し、情報を漏えいさせたり、マルウェアを外部からアップデートするのに用いられている。

 その後、情報ネットワークと制御ネットワーク間は物理的に隔離されていたが、相互のネットワーク間のデータをやりとりするのに用いられているUSBメモリを媒介として制御システムのネットワークに侵入し、遠心分離器をコントロールするパソコンに感染、そのパソコン内にインストールされている独シーメンス社製のラダープログラミングソフトを改ざんし、制御システムを破壊したとされている。※2)

※2)厳密には、独シーメンス製のラダープログラミングソフト「Step 7」は、IEC61131-3準拠のプログラミングツールなので「ラダープログラミングソフト」とは言わないが、国内では、PLCプログラミングソフトにおいては、まだラダーが主流であり、読者に分かりやすいことを目的として、あえてこの用語を用いている。

図1 図1:スタックスネットの侵入の過程

 ここで、制御システム技術者にとってのポイントは2つある。

  1. 外部とつながっていない「クローズ」な制御システムであっても、USBメモリ経由などの方法でマルウェア感染する
  2. 制御装置をコントロールするソフトがハッキングされた場合、制御システムは簡単に攻撃者の意のままに動作してしまう

 「1」については、「制御システムは『クローズ』だから安全」という神話はもう捨てなければならないということを示している。「2」ついては、制御システムに対する攻撃は、PLCやDCSのような制御装置そのものに対する攻撃だけでなく、「制御装置をコントロールするパソコンが狙われるケースもありますよ」ということだ。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.