Stuxnetとは何か?
Stuxnetは、イランの核施設を攻撃したことで悪名高まった悪質なコンピュータ・ワームである。この攻撃は2010年に初めて発見され、世界的なニュースとなりました。Malwarebytes脅威インテリジェンス担当シニア・ディレクターであるJérôme Seguraは、自身の記事「Stuxnet: new light through oldwindows」の中で、「Stuxnetほど世界的な注目を集めたマルウェアはほとんどない」と述べています。
Stuxnetはコンピュータ・ワームとしては悪意のあるソフトウェアだが、電気機械設備の攻撃にも利用されている。イランで発生した大規模な攻撃の場合と同様、攻撃者は Stuxnet を使用して、Windows 複数のゼロデイ脆弱性を悪用し、感染した PC を検索して電気機械装置を制御するソフトウェアへの接続を探し、装置に損害を与えることを意図した指示を送信しました。多くの種類のマルウェアがインターネットを通じてコンピュータに感染しますが、イランで発生した Stuxnet 攻撃のもう 1 つの特徴は、マルウェアが感染した USB ドライブを介して PC に導入されたことです。
スタックスネットはウイルスか?
多くの人は、このマルウェアを「Stuxnetウイルス」と呼んでいるが、これはコンピュータ・ウイルスではなく、コンピュータ・ワームである。ウイルスもワームもファイルを破壊するマルウェアの一種であるが、コンピュータ・ワームははるかに巧妙である。まず、ウイルスとは異なり、ワームは作動させるために人間の操作を必要としない。その代わり、ワームは自己増殖し、時にはシステムに侵入した後に増殖することもある。コンピュータ・ワームは、データを削除するだけでなく、ネットワークに負荷をかけたり、帯域幅を消費したり、バックドアを開いたり、ハードディスクの容量を減らしたり、ルートキット、スパイウェア、ランサムウェアなどの危険なマルウェアを落としたりすることもある。
イランのスタックスネット攻撃とは何だったのか?
書籍『ゼロデイへのカウントダウン』によれば、2010年、イランを訪れた原子力庁の査察官は、イランの遠心分離機の多くが故障しているのを見て驚いたという:Stuxnet and the Launch of the World's First Digital Weapon(ゼロデイへのカウントダウン:スタックスネットと世界初のデジタル兵器)』によれば、2010年、イランを訪れた原子力庁の査察団は、イランの遠心分離機の多くが故障しているのを見て驚いたという。原子炉の動力源となるウラン濃縮用に設計されたシーメンス製の装置が、なぜこれほど壊滅的な誤作動を起こしたのか、イラン側にも査察団にも理解できなかった。
悪意のあるソフトウェアの仕業とは考えにくかった。結局のところ、イランの核施設はエアギャップ、つまりネットワークやインターネットに接続されていなかった。エアギャップされたウラン濃縮工場でマルウェア攻撃が起こるには、誰かが意識的に、あるいは無意識のうちに、おそらく感染したUSBドライブを通じて物理的にマルウェアを追加したに違いない。
ベラルーシのセキュリティ・チームがイランにある故障したコンピューターを調査しに来たとき、非常に複雑な悪意あるソフトウェアを発見した。この攻撃的なマルウェアは後にさらに拡散し、研究者たちはこれを "世界初のデジタル兵器 "Stuxnetと呼んだ。
なぜStuxnetはそれほど危険だったのか?
専門家は、スタックスネットを信じられないほど複雑なコードであり、世界初のサイバー兵器と呼んでいる。イランの遠心分離機1000基近くを物理的に劣化させた可能性がある。Stuxnetは、遠心分離機を制御するプログラマブル・ロジック・コントローラー(PLC)に感染し、それを妨害することで機能した。
遠心分離機は非常に速いスピードで回転し、ウランガス中の元素を分離するために重力の何倍もの力を発生させる。ワームは遠心分離機の作動速度を操作し、遠心分離機にダメージを与えるのに十分なストレスを与えた。Stuxnetは時間をかけ、遠心分離機を一時的に加速させた後、減速させるのに何週間も待ったため、その活動を検出するのは困難だった。
Stuxnetは、シグネチャが知られていないまったく新しいマルウェアであり、新たな脅威であったため、検出も困難でした。さらに、Stuxnet は複数のゼロデイ脆弱性(未修正のソフトウェア・セキュリティ上の欠陥)を悪用していました。
Stuxnetはまた、その存在と悪意のある活動を隠すために、偽の産業プロセス制御センサー信号を送信した。さらに、Stuxnet は rootkit.ルートキットは、脅威行為者にシステムの中核を制御させることができます。ルートキットによって rootkitをインストールすることで、Stuxnet はより巧妙に行動できるようになりました。
産業用ネットワークにおけるサイバーセキュリティのベストプラクティス
どのようなビジネスにおいても、強力なサイバーセキュリティ対策は不可欠である。サイバー攻撃の報告は定期的にニュースになっており、悪意のあるソフトウェアが有用なソフトウェアを攻撃するとは限りません。Stuxnetのケースのように、マルウェアは最終的に電気機械装置、ハードウェア、インフラを攻撃するために使用されることがあります。
2021年に最も注目されたサイバーセキュリティ事件のひとつに、米国最大の燃料パイプラインを1週間近く停止させたランサムウェア攻撃がある。後に、漏洩した1つのパスワードが攻撃を可能にしたことが判明した。この年の他のランサムウェア攻撃の標的には、世界最大の食肉業者や マサチューセッツ州最大のフェリー・サービスが含まれていた。
ランサムウェア、コンピュータワーム、フィッシング、ビジネスメール詐欺(BEC)など、夜も眠れないような脅威であっても、ビジネスを保護するための対策を講じることができます。すべての人にサイバー保護を提供するというミッションのもと、Malwarebytes あらゆる規模の企業にセキュリティソリューションを提供しています。また、次のようなセキュリティのベストプラクティスを導入することもできます:
- 従業員や請負業者が潜在的な脅威を持ち込むことを防ぐため、厳格なBYOD(Bring Your Own Device)ポリシーを適用する。
- 国家安全保障に影響を及ぼす可能性のあるコンピューターはすべてエアギャップする。
- ヒューマン・インターフェースの役割を果たすすべてのレガシー・システムをエアギャップする。
- ブルートフォース(総当たり)攻撃を阻止し、盗まれたパスワードが脅威の媒介となるのを防ぐ、二要素認証による高度なパスワード体制を採用する。
- 最新のパッチでコンピュータとネットワークを保護する。
- 機械学習機能を備えたAI搭載のサイバーセキュリティ・ソフトウェアを使用する。
- 特に重要なシステムについては、中断を最小限に抑えるために、可能な限りあらゆるレベルで簡単なバックアップと復元を適用する。
- プロセッサーとサーバーに異常がないか常に監視する。
- 産業用ネットワークの非武装地帯(DMZ)を試してみよう。
- ソフトウェア・セキュリティ強化のためのアプリケーション・ホワイトリストについて調べる。
Malwarebytes Labs関連記事
サイバーセキュリティとインフラストラクチャーについてもっと読みたいとお考えですか?Malwarebytes Labs以下の記事をご覧ください: