サイバー・セキュリティ:リスクはどこにあるのか

サイバー•セキュリティ:リスクはどこにあるのか
制御システムを標的とする
stuxnetワームの分析
武田圭史,Ph.D.
慶應義塾大学
教授
Copyright © 2008 Keio University
2010/10/8
テロ対策特殊装備展(SEECAT) '10
サイバー•セキュリティ:リスクはどこにあるのか
1
サイバー戦争(Cyber War)の現実
・エストニアの事例分析
2
変化する状況
・Ghostnet
・Stuxnet
3
制御システムに対する新しい脅威
・Stuxnetの分析
4
まとめ
2
サイバー戦争(Cyber War)の現実
2000年
日本省庁におけるWeb大量改ざん事件
2001年
日本民間等におけるWeb大量改ざん事件
2007年
エストニア、ソビエト兵士像移転に伴うサイバー攻撃
2008年
グルジアにおけるサイバー攻撃
2009年
米韓政府機関等サイトに対するDDoS攻撃
2010年
尖閣諸島領有権問題に関する日本サイトへの攻撃声明
3
エストニアの事例分析(1/2)
一般的な分析
このエストニアに対する攻撃は、かつてないほど進化したも
のであると同時に大規模なものであった。
個人や犯罪組織の能力をはるかに超えた規模の攻撃であり、
国あるいは大通信企業の協力なしには不可能だという。
(“サイバー戦争”に耐えたエストニア、国家の関与を
否定するロシア,藤田正美,Business Media 誠)
専門家の見解
「どこかの政府との関連についても、せいぜい噂になる程度
だった。にきびのできたティーンエージャーの仕業という説
が最も有力だ。」
サイバーテロであるが、インターネット暴動またはサイバー
暴動と呼ぶのが適当だ
(NATO、エストニアへのサイバー攻撃に過剰な
反応, Noah Shachtman, Wired, 2007/6/20)
ストニアを苦しめたのは攻撃者の群衆コントロールである。
インターネットを通じてオンライン・モブを扇動した。攻撃
者の戦略として、今後さらに注目されるだろう
4
(Black Hat USA 2007 - 初の"サイバー戦争
"!? 狙われたIT先進国エストニア, Yoichi
Yamashita,マイコミジャーナル,
2007/08/14)
エストニアの事例分析(2/2)
事態の結末
昨年4月のエストニアへのサイバー攻撃、エストニアの大学生が逮捕
昨年4月にエストニアで起きた大規模なサイバー攻撃を行ったとしてエス
トニア当局がエストニア国内の大学に通うドミトリ・ガクシュケビッチ
(Dmitri Galushkevich)(20)を逮捕していたことが24日、エスト
ニアの捜査当局によって明らかとなった。
ガクシュケビッチ容疑者は最大1万7500クローン(約18万円)の罰金
刑が下される見通し。
(昨年4月のエストニアへのサイバー攻撃、エストニ
アの大学生が逮捕, Technobahn 2008/1/25)
http://www.technobahn.com/cgibin/news/read2?f=200801252223
Russian youth movement claims to have carried out cyber
attacks on Estonia
"We taught the Estonian regime the lesson that if they act
illegally, we will respond in an adequate way," boasted
Goloskokov in the FT interview. They didn't do anything illegal,
he said. "We just visited the various internet sites, over and over,
and they stopped working."
5
(The H Security, Russian youth movement
claims to have carried out cyber attacks on
Estonia, 2009/03/12)
http://www.honline.com/security/news/item/Russianyouth-movement-claims-to-have-carriedout-cyber-attacks-on-Estonia740487.html
Ghostnet (1/2)
2007年から2008年にかけて、公的機関を装ったなりすましメールに不正なプログラムを添付して送りつ
けられる事件が多発している。米国内の組織に対しても同様の傾向が観測されている。
攻撃対象は幅広いが、攻撃者は政治、軍事、外交方面などに関心があるかこれらに関心を持つユーザに
関心がある模様。
送付対象が広い場合にこれを標的型攻撃と呼ぶか否かについては議論の余地はあるが、何らかの意図
を持って行われている可能性は高いと思われる。
From: 防衛省 <infomod@mod.go.jp>
Subject: 防衛省所管公益法人一覧
To:
Date: Mon, 14 Apr 2008 11:43:02 +0900
関係各位
お疲れ様です。
防衛省所管公益法人に異動事項がありましたので、
4月14日付の最新版を添付します
(attached file:0414.zip)
--------------------------Ministry of Defense
Tel: +81-3-5366-3111
Email: infomod@mod.go.jp
----------------------------
6
Archive: 0414.zip
Length
Date Time Name
-------- ---- ---- ---45568 04-14-08 10:13 0414.xls
45056 04-14-08 04:47 0414.exe
-------------90624
2 files
今日のウイルスメール (2008.04.14 ), 小島肇, セキュリティホール mem o
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_vir
us
接続先: cyhk.3322.org
hi222.3322.org
「3322.org」は、中国の無料ホスト・サービスです。誰でも、
「3322.org」に自由なホスト名を登録することができ、そのホ
スト名を任意の指定したIPアドレスに向けるサービスです。
他にも、「8866.org」、「2288.org」、「6600.org」、「8800.org」、
「9966.org」など同様のサービスがあります。Eメールを入力
したWord文書の出先に疑いを感じる場合は、自社のゲート
ウェイ・ログをチェックし、どのようなトラフィックがあるかを
確認することを推奨します。
Ghostnet (2/2)
The Pentagon hadn't sent the e-mail at
all. Its origin is unknown, but the
message traveled through Korea on its
way to Booz Allen. Its authors knew
enough about the "sender" and
"recipient" to craft a message unlikely to
arouse suspicion. Had the Booz Allen
executive clicked on the attachment, his
every keystroke would have been
reported back to a mysterious master at
the Internet address
cybersyndrome.3322.org, which is
registered through an obscure company
headquartered on the banks of China's
Yangtze River.
The New E-spionage Threat, BusinessWeek, 2008/4/10
http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm?chan=magazine+channel_t
op+stories
7
Stuxnetワーム
2010年6月に発見されWindows、Siemens(シーメンス社)の制御(SCADA)システ
ム、PLCを標的とした不正プログラム
3つのファイルにより構成、全体で1.2Mb程度のサイズ
マイクロソフト Windowsの4つの未知の脆弱性を利用して感染を拡大
(後に1つの脆弱性は既知のものであったことが判明、内2つは未だに解決されていな
い)
USBメモリを主な感染経路として利用(3回まで)
ルートキット機能により自身の存在を隠蔽(WindowsとPLCの両方)
感染時に台湾の半導体メーカー2社の電子署名を使用
CCサーバ接続およびP2P機能により自身をアップデート
初期型は2009年6月頃より存在
8
Stuxnetワームの作成者プロファイル
Siemens(シーメンス社)の制御(SCADA)システムについての知識
Windowsの未公開の脆弱性を発見または利用する能力
Windowsにおけるカーネルレベルルートキットの開発能力
PLCについての知識
PLCルートキットを開発する能力
複数企業の電子署名秘密鍵が入手可能
ボットネットの開発および運用経験
1年以上にわたり開発を継続
9
感染PCの国別分布
対象:7/20〜9/29に観測された約10万IPホスト
8/22以降イランからのアクセスは停止
Source: W32.Stuxnet Dossier version 1.0, Nicolas Falliere, Liam O
Murchu,
and
Chien, Symantec, September 30, 2010.
Copyright © 2008
KeioEric
University
Siemensソフトを持つ感染PCの国別分布
Source: W32.Stuxnet Dossier version 1.0, Nicolas Falliere, Liam O
Murchu,
and
Chien, Symantec, September 30, 2010.
Copyright © 2008
KeioEric
University
ブシェール (Bushehr) 原子力発電所
UPI, The Nuclear Issue in Iran, 2009
http://www.upi.com/News_Photos/Features/The-Nuclear-Issue-in-Iran/1581/2/
12
SIEMENS SIMATIC WinCC V7.0
13
SIEMENS Product Support,
まとめ
制御(SCADA)システムを対象とした不正プログラム
への脅威が現実に、早急な対応が必要
ネットでの暴動の扇動や情報操作、心理戦、非対称の
戦闘の様相に着目
継続的な状況把握・分析・対処活動を通じた情報・経験
の蓄積が必要
14
【お問い合わせ】
慶應義塾大学 環境情報学部
教授 武田圭史
keiji@sfc.keio.ac.jp
15