サイバー•セキュリティ:リスクはどこにあるのか 制御システムを標的とする stuxnetワームの分析 武田圭史,Ph.D. 慶應義塾大学 教授 Copyright © 2008 Keio University 2010/10/8 テロ対策特殊装備展(SEECAT) '10 サイバー•セキュリティ:リスクはどこにあるのか 1 サイバー戦争(Cyber War)の現実 ・エストニアの事例分析 2 変化する状況 ・Ghostnet ・Stuxnet 3 制御システムに対する新しい脅威 ・Stuxnetの分析 4 まとめ 2 サイバー戦争(Cyber War)の現実 2000年 日本省庁におけるWeb大量改ざん事件 2001年 日本民間等におけるWeb大量改ざん事件 2007年 エストニア、ソビエト兵士像移転に伴うサイバー攻撃 2008年 グルジアにおけるサイバー攻撃 2009年 米韓政府機関等サイトに対するDDoS攻撃 2010年 尖閣諸島領有権問題に関する日本サイトへの攻撃声明 3 エストニアの事例分析(1/2) 一般的な分析 このエストニアに対する攻撃は、かつてないほど進化したも のであると同時に大規模なものであった。 個人や犯罪組織の能力をはるかに超えた規模の攻撃であり、 国あるいは大通信企業の協力なしには不可能だという。 (“サイバー戦争”に耐えたエストニア、国家の関与を 否定するロシア,藤田正美,Business Media 誠) 専門家の見解 「どこかの政府との関連についても、せいぜい噂になる程度 だった。にきびのできたティーンエージャーの仕業という説 が最も有力だ。」 サイバーテロであるが、インターネット暴動またはサイバー 暴動と呼ぶのが適当だ (NATO、エストニアへのサイバー攻撃に過剰な 反応, Noah Shachtman, Wired, 2007/6/20) ストニアを苦しめたのは攻撃者の群衆コントロールである。 インターネットを通じてオンライン・モブを扇動した。攻撃 者の戦略として、今後さらに注目されるだろう 4 (Black Hat USA 2007 - 初の"サイバー戦争 "!? 狙われたIT先進国エストニア, Yoichi Yamashita,マイコミジャーナル, 2007/08/14) エストニアの事例分析(2/2) 事態の結末 昨年4月のエストニアへのサイバー攻撃、エストニアの大学生が逮捕 昨年4月にエストニアで起きた大規模なサイバー攻撃を行ったとしてエス トニア当局がエストニア国内の大学に通うドミトリ・ガクシュケビッチ (Dmitri Galushkevich)(20)を逮捕していたことが24日、エスト ニアの捜査当局によって明らかとなった。 ガクシュケビッチ容疑者は最大1万7500クローン(約18万円)の罰金 刑が下される見通し。 (昨年4月のエストニアへのサイバー攻撃、エストニ アの大学生が逮捕, Technobahn 2008/1/25) http://www.technobahn.com/cgibin/news/read2?f=200801252223 Russian youth movement claims to have carried out cyber attacks on Estonia "We taught the Estonian regime the lesson that if they act illegally, we will respond in an adequate way," boasted Goloskokov in the FT interview. They didn't do anything illegal, he said. "We just visited the various internet sites, over and over, and they stopped working." 5 (The H Security, Russian youth movement claims to have carried out cyber attacks on Estonia, 2009/03/12) http://www.honline.com/security/news/item/Russianyouth-movement-claims-to-have-carriedout-cyber-attacks-on-Estonia740487.html Ghostnet (1/2) 2007年から2008年にかけて、公的機関を装ったなりすましメールに不正なプログラムを添付して送りつ けられる事件が多発している。米国内の組織に対しても同様の傾向が観測されている。 攻撃対象は幅広いが、攻撃者は政治、軍事、外交方面などに関心があるかこれらに関心を持つユーザに 関心がある模様。 送付対象が広い場合にこれを標的型攻撃と呼ぶか否かについては議論の余地はあるが、何らかの意図 を持って行われている可能性は高いと思われる。 From: 防衛省 <infomod@mod.go.jp> Subject: 防衛省所管公益法人一覧 To: Date: Mon, 14 Apr 2008 11:43:02 +0900 関係各位 お疲れ様です。 防衛省所管公益法人に異動事項がありましたので、 4月14日付の最新版を添付します (attached file:0414.zip) --------------------------Ministry of Defense Tel: +81-3-5366-3111 Email: infomod@mod.go.jp ---------------------------- 6 Archive: 0414.zip Length Date Time Name -------- ---- ---- ---45568 04-14-08 10:13 0414.xls 45056 04-14-08 04:47 0414.exe -------------90624 2 files 今日のウイルスメール (2008.04.14 ), 小島肇, セキュリティホール mem o http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_vir us 接続先: cyhk.3322.org hi222.3322.org 「3322.org」は、中国の無料ホスト・サービスです。誰でも、 「3322.org」に自由なホスト名を登録することができ、そのホ スト名を任意の指定したIPアドレスに向けるサービスです。 他にも、「8866.org」、「2288.org」、「6600.org」、「8800.org」、 「9966.org」など同様のサービスがあります。Eメールを入力 したWord文書の出先に疑いを感じる場合は、自社のゲート ウェイ・ログをチェックし、どのようなトラフィックがあるかを 確認することを推奨します。 Ghostnet (2/2) The Pentagon hadn't sent the e-mail at all. Its origin is unknown, but the message traveled through Korea on its way to Booz Allen. Its authors knew enough about the "sender" and "recipient" to craft a message unlikely to arouse suspicion. Had the Booz Allen executive clicked on the attachment, his every keystroke would have been reported back to a mysterious master at the Internet address cybersyndrome.3322.org, which is registered through an obscure company headquartered on the banks of China's Yangtze River. The New E-spionage Threat, BusinessWeek, 2008/4/10 http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm?chan=magazine+channel_t op+stories 7 Stuxnetワーム 2010年6月に発見されWindows、Siemens(シーメンス社)の制御(SCADA)システ ム、PLCを標的とした不正プログラム 3つのファイルにより構成、全体で1.2Mb程度のサイズ マイクロソフト Windowsの4つの未知の脆弱性を利用して感染を拡大 (後に1つの脆弱性は既知のものであったことが判明、内2つは未だに解決されていな い) USBメモリを主な感染経路として利用(3回まで) ルートキット機能により自身の存在を隠蔽(WindowsとPLCの両方) 感染時に台湾の半導体メーカー2社の電子署名を使用 CCサーバ接続およびP2P機能により自身をアップデート 初期型は2009年6月頃より存在 8 Stuxnetワームの作成者プロファイル Siemens(シーメンス社)の制御(SCADA)システムについての知識 Windowsの未公開の脆弱性を発見または利用する能力 Windowsにおけるカーネルレベルルートキットの開発能力 PLCについての知識 PLCルートキットを開発する能力 複数企業の電子署名秘密鍵が入手可能 ボットネットの開発および運用経験 1年以上にわたり開発を継続 9 感染PCの国別分布 対象:7/20〜9/29に観測された約10万IPホスト 8/22以降イランからのアクセスは停止 Source: W32.Stuxnet Dossier version 1.0, Nicolas Falliere, Liam O Murchu, and Chien, Symantec, September 30, 2010. Copyright © 2008 KeioEric University Siemensソフトを持つ感染PCの国別分布 Source: W32.Stuxnet Dossier version 1.0, Nicolas Falliere, Liam O Murchu, and Chien, Symantec, September 30, 2010. Copyright © 2008 KeioEric University ブシェール (Bushehr) 原子力発電所 UPI, The Nuclear Issue in Iran, 2009 http://www.upi.com/News_Photos/Features/The-Nuclear-Issue-in-Iran/1581/2/ 12 SIEMENS SIMATIC WinCC V7.0 13 SIEMENS Product Support, まとめ 制御(SCADA)システムを対象とした不正プログラム への脅威が現実に、早急な対応が必要 ネットでの暴動の扇動や情報操作、心理戦、非対称の 戦闘の様相に着目 継続的な状況把握・分析・対処活動を通じた情報・経験 の蓄積が必要 14 【お問い合わせ】 慶應義塾大学 環境情報学部 教授 武田圭史 keiji@sfc.keio.ac.jp 15
© Copyright 2024 Paperzz