stuxnet

ラルフ・ラングナー 21世紀のサイバー兵器、Stuxnetを解読

「Stuxnet コンピュータ・ワームの背後にあるアイデアは実は簡単で、ターゲットの豊富な環境はアメリカ、ヨーロッパ、日本です」ラングナーは語りかける。ここでは、100万ビューを超える Ralph Langner のTED講演を訳し、サイバー科学探査の内情について理解する。

要約

2010年に最初に発見されたとき、この Stuxnet コンピュータ・ワームは、不可解な謎を突き付けました。その異常にハイレベルの精巧さのかなたに、より厄介なミステリであるその目的が姿を現わしました。ラルフ・ラングナーとチームは、このデジタル弾頭の最終ターゲット—そしてその隠れた由来を暴露するコードの解読に手を貸しました。非常に興味深いサイバー科学捜査の内情について、彼がどのようにしたかを説明します。

Ralph Langner is a German control system security consultant. He has received worldwide recognition for his analysis of the Stuxnet malware.

 

1 Stuxnet コンピュータ・ワームの背後にあるアイデアは簡単

Stuxnet コンピュータ・ワームの背後にあるアイデアは、 実はかなり簡単です。 我々としては、イランが爆弾を手に入れてほしくありません。 核兵器を開発するためのイランの重要な資産は、 Natanz ウラン濃縮施設です。 ご覧の灰色のボックス、 これらはリアルタイム制御システムです。 もし、何とかしてこれらのシステム、 駆動スピードやバルブを制御するシステムを脅かすと、 実際に遠心分離機に多くの問題を 引き起こすことができます。 この灰色のボックスは、 Windows ソフトを実行しません; まったく異なる技術です。 しかし、もし何とかして 巧妙な Windows ウィルスを、 ノートブックに、 保守エンジニアが使用するノートブックに仕組み、 この灰色のボックスを構成するとうまく行きます。 これが Stuxnet の背後にある筋立てです。

 

2 完全に指示された攻撃だった

それで、 Windows ドロッパーから始めます。 ペイロードが灰色のボックスに行き、 遠心分離機にダメージを与え、 イランの核計画が遅れます– 任務完遂。 簡単、でしょ? 我々がどのように解明したかをお話ししましょう。 六ヶ月前に Stuxnet に関する調査を開始したとき、 こいつの目的が何なのかまったく分かりませんでした。 唯一分かっていたことは、 ものすごく複雑な、 Windows 側、ドロッパー側で 使われた複数のゼロ・デイ脆弱性です。 何かをしたいようでした、 これら灰色のボックス、これらリアルタイム制御システムについて。 そのため、我々の注意を引きまし。 研究室のプロジェクトを開始し、 そこで我々の環境を Stuxnet で感染させ、 こいつを検査しました。 すると、まさに可笑しなことが起こりました。 Stuxnet は研究用のラットのように振る舞い、 我々のチーズを好まず、 においを嗅ぎましたが、食べたがりませんでした。 私には意味がわかりませんでした。 風味の異なるチーズで実験しました後、 分かりました、これは、指示された攻撃だと。 完全に指示されていました。 ドロッパーは灰色のボックスで、 活発に徘徊しました、 特有の設定構成が見つかれば、 たとえ感染しようとする実際のプログラムが、 そのターゲット上で実際に稼働していても。 そうでなければStuxnet は何もしません。

 

3 明らかに内部情報を有する連中によって構成されていた

そのため、まさに私の注意を引きました。 我々はこれに取りかかり始めました、 ほとんど24時間ぶっ通しで。 というのは、そのターゲットが何なのかが分からないので、 可能性としては、たとえば、 アメリカの発電所や、 ドイツの化学工場があります。 そのため、ターゲットが何かをすぐに見つけ出した方がいいでしょう。 それで、攻撃コードを 抽出し、逆コンパイルすると、 二つのデジタル爆弾として構成されていることを発見しました– 小さいやつと、大きいやつです。 また、非常に専門技術的に巧まれていることが分かりました。 明らかに内部情報を有する連中によって。 彼らはこまごました事柄すべてを知っていました。 攻撃対象について。 たぶん、オペレータの靴のサイズさえ知っています。 彼らはすべてを知っています。

 

4 このペイロードは極めて高度

もし、Stuxnet のドロッパーが複雑でハイテクであると 聞いたことがあるとしたら、 教えましょう。このペイロードは、極めて高度です。 我々がかつて見たことのあるもの すべてを超えています。 ここに、実際の攻撃コードのサンプルをお見せします。 ここで話をしているのは– およそ約15,000行のコードです。 ほとんど古い型のアセンブリ言語のように見えます。 どのようにして我々がこのコードの 意味を理解できたかをお話しましょう。 我々がまず探したのは、システム・ファンクション・コールです。 これらが何をするかを知っているからです。

 

5 イランで最も多くの感染が報告されていた

その後、タイマーとデータ構造を探し、 現実世界に関連付けようとしました。潜在的な現実世界のターゲットに。そのため、ターゲットの理論が必要です。証明したり、反証したりできる理論が必要です。 ターゲットの理論を手に入れるために、 念頭に置きます、 絶対に本格的な破壊行為であり、 価値の高いターゲットに違いなく、 イランに位置する可能性が最も高いことを。 なぜなら、そこで最も多くの感染が報告されていたからです。 すると、そのエリアには数千もターゲットはありません。 おおむね、 Bushehr 原子力発電所、 Natanz 燃料濃縮プラントに 落ち着きます。

 

6 ローターは遠心分離機内の可動部

それでアシスタントに言いました「顧客の中で遠心分離機と発電所の専門家すべてのリストをくれ」と。 彼らに電話をして、知恵を借りました。 かれらの専門知識と、 コードとデータで見つけたことを合致させるために。 これは、かなりうまく行きました。 それで、関連付けることができました。この小さなデジタルの弾頭と、 ローター制御とを。 ローターは、遠心分離機内の可動部であり、 ご覧の黒い物体です。 このローターの速度を操作すると、 実際にローターに侵入することができ、 最終的には遠心分離機を爆発させることさえできます。 我々が見たのは、また その攻撃の目的を、 実にゆっくりと不気味に行うことであり– 明らかに、 保守エンジニアを困らせて、 この問題をすぐに理解できないようにしていることです。

 

7 各カスケードは164の遠心分離機を保持している

大きいデジタルの弾頭 — これに狙いを定め、 非常に詳しく、 データとデータ構造を調べました。 たとえば、164という数が このコードの中で実に目立っていおり; 見過ごすことができません。 私は科学文献を調べ始めました、 こうした遠心分離機がどのように、 Natanz で実際に構築されたかについて。 そして、発見しました。これらは カスケードと呼ばれる形で構成されており、 各カスケードは 164 の遠心分離機を保持していることを。 それで分かりました、合致しました。さらに良かったのです。 イランのこれらの遠心分離機は 15 のいわゆるステージにさらに分割されています。 攻撃コードで何を見つけたか解りますか? ほとんど同一の構造です。 やはり、これも見事な合致です。 我々が調べていたことについて非常に確かな確信が得られました。 ここで間違わないでほしいのですが、こんなに風に行ったわけではありません。 これらは、何週間にわたる まさに重労働の成果です。 全くの行き止まりに入り込むことが多く、 戻ってこなければなりませんでした。

 

8 2つのデジタルの弾頭はNatanzを異なる角度から狙っていた

とにかく、理解できました。二つのデジタルの弾頭は、 実際には一つの同じターゲットを、 異なる角度から狙っていました。 小さい弾頭は、一つのカスケードを取って、 ローターを回転させ、速度を落とし、 大きい弾頭は、 六つのカスケードに向けて バルブを操作しています。 全体で、我々は非常に確信があります、 ターゲットが何かを実際に特定しました。 Natanz です。Natanz だけです。 そのため、心配はいりません、 他のターゲットが、Stuxnet によって 攻撃される可能性については。我々の見た中でかなりすごいものがあります– 本当に驚きました。 下にあるのは灰色のボックスで、 その上に遠心分離機が見えます。 こいつがするのは、 センサからの入力値を盗み取るのです– 例えば、圧力センサや 振動センサからの入力値です– これを正規のコードに与え、 このコードが攻撃中に稼働して、 偽の入力データを使用します。 実際のところ、この偽のデータは、 Stuxnetによって予め記録されているのです。 ちょうどハリウッド映画のようです。強盗の間に、 監視カメラに予め記録されたビデオを送り込むのです。 すごいでしょ?

 

9 デジタルの安全装置を迂回するというアイデア

このアイデアは、明らかに 制御室のオペレータを欺くだけでなく、 実際、もっと危険で攻撃的です。 このアイデアは、 デジタルの安全装置を迂回することです。 我々にはデジタルの安全装置が必要です。人間のオペレータが充分に素早く対応できない場合には。 例えば、発電所において、 大きな蒸気タービンの速度が上がり過ぎたとき、 数ミリ秒以内に安全弁を開放しなければなりません。 明らかにこれは人間のオペレータではできません。 このような場合にデジタルの安全装置が必要になります。 それで侵害されると、 本当に酷いことが起こる可能性があります。 発電所が爆発するかもしれません。 オペレータも安全装置も気付かないでしょう。 ゾッとします。

 

10 ターゲットの豊富な環境はアメリカ、ヨーロッパ、日本

しかし、もっと悪いのです。 これから言うことは大変重要です。 考えてみてください。 この攻撃は、汎用です。 専用のものとは無関係です。 遠心分離機とも、 ウラン濃縮とも。 そのため、なんにでも働きます。例えば、 発電所や 自動車工場でも。 汎用なのです。 –攻撃する者としては–何ら このペイロードを USB スティックで持ち込む 必要はないのです。Stuxnet の場合で見たように。 拡散のために従来のワーム技術を使用することもできるでしょう。 とにかくできるだけ広く拡散させるのです。 そのようにすると、 結局のところ大量破壊のサイバー兵器になります。 これが、帰結です。我々が直面しなければならない帰結です。 そのため、不幸なことにこのような攻撃のターゲットの最大数は、 中東ではなくアメリカやヨーロッパそして日本にあるのです。 この緑の領域のすべて、 これらがターゲットの豊富な環境です。 我々はこのような帰結に立ち向かわなければなりません。 今すぐ準備を始めた方がよいでしょう。ありがとう(拍手)

最後に

アメリカとイスラエルがイランの核施設を破壊するために開発し、その過程で他国へも流出したマルウェア「Stuxnet」。2つのデジタルの弾頭はNatanzを異なる角度から狙っていた。デジタルの安全装置を迂回するというアイデア。ターゲットの豊富な環境はアメリカ、ヨーロッパ、日本。

和訳してくださった Mitsumasa Ihara 氏、レビューしてくださった Hidetoshi Yamauchi 氏に感謝する(2011年3月)。

暴露―スノーデンが私に託したファイル―

U.S. Army War College Information Operations Primer – Fundamentals of Information Operations – Botnet, Stuxnet, Cyber Warfare, NSA, Service Organizations


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>