【書評】スタクスネットが開けたパンドラの箱"Countdown to Zero Day"
イランの核開発能力低下を目的として、アメリカとイスラエルが共同で開発したと言われるマルウェア「スタクスネット(Stuxnet)」。イランの核関連施設に設置されていた、ウラン濃縮用の遠心分離機を標的にしたとされ、実際に数千台の遠心分離機の「物理的な」破壊に成功したのではないかと目されています。数年前に発見され、日本でも話題になりましたが、その全容を追ったノンフィクション"Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon
 | Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon Kim Zetter Crown 2014-11-11 売り上げランキング : Amazonで詳しく見る by G-Tools |
とにかく面白い一冊でした。紙版で400ページ以上というボリュームなのですが、それだけにスタクスネットはもちろんのこと、その周辺に関する話も丁寧に扱われており、思わず引き込まれてしまいます。セキュリティやサイバー攻撃に興味のある方だけでなく、今後のデジタル技術と社会のあり方に興味があるという方も、読んで損はないでしょう。
物語は2010年6月、ベラルーシにある小さなコンピューターセキュリティ会社、VirusBlokAdaがイランで発見された奇妙な不正プログラムの調査に乗り出すところから始まります。普通のコンピューターウィルスかと思われたこのプログラムですが、ゼロデイ脆弱性(ソフトウェア開発者も気づいていない未知のセキュリティホール)を利用して攻撃を行うことが分かり、調査員の関心を引くこととなります。毎年1200万件以上のウィルスやワームなどのマルウェアが発見されるそうですが、そのうちゼロデイ脆弱性を利用するものは数十件程度。しかしスタクスネットは、最終的に5つものゼロデイ脆弱性を攻撃に組み込んでいたのでした。しかも攻撃を行うのは、ある特定の状況下に置かれた、特定の型番の製品(シーメンス製のPLC)に対してのみ。この異常とも言えるマルウェアをめぐって、シマンテックやカペルスキーといった大手セキュリティ会社を巻き込んだ、世界規模での追跡劇が展開されます。
この追跡劇と、イランの核開発(そしてそれを巡る各国や国際機関の対応)を描くことが本書の中心テーマになるのですが、月並みな表現ですが映画を見ているかのような展開で、スタクスネットの正体を知りつつも手に汗握ってしまいました。1つ1つの手がかりをもとに、調査員がスタクスネットの全貌を明らかにしていく様子は、まるで刑事や探偵が犯罪を捜査していく姿を見ているかのようです。実際、ソースコードのクセや品質などから「スタクスネットの各パートは分業体制で開発されたのかもしれない」と推察する場面や、バージョン毎の感染方法や感染力の強さなどから攻撃プランの変遷を推理するといった場面もあり(後にこうした検証が正しかったことが明らかになります)、下手な推理小説より面白いのではないでしょうか。
さらにスタクスネットの追跡と解明だけでなく、その後に「ドゥク(Doqu)」や「フレーム(Flame)」などの関連マルウェア、さらには古いバージョンである「スタクスネット0.5」などが発見されたこと、そしてその解析を通じて、スタクスネットは壮大な攻撃プランのごく一部でしかないことが描かれます。たとえばフレームは約20MBで、ソースコードが65万行以上という桁違いの大きさを持つマルウェアなのですが、これは感染したマシンの各種ログ(スクリーンショットまで!)を収集して攻撃者に送信する機能を持ち、イランの核開発関連情報を引き出す(それを攻撃に役立てる)ことが目的だろうと推測されるとのこと。またスタクスネットを構成するコンポーネントの中には、2003年ごろに開発されたと見られるものもあり、少なくとも2010年に発見される数年前からスタクスネット(もしくはその系統のマルウェア)が世に放たれていたこと、さらに「マルウェアでサイバー攻撃を仕掛ける」という計画自体は2000年代初期のころから存在していた可能性があることが指摘されています。スタクスネットが遠心分離機の破壊を行ったという事件は、こうした全体像の氷山の一角なわけですね。
また本書は、同じようなマルウェアによる機器類・インフラ類への攻撃が繰り返される可能性についても検討することを忘れていません。スタクスネットはゼロデイ脆弱性を利用しているわけですが、そのゼロデイ脆弱性を取引する闇市場が存在すること。あらゆるソフトウェア製品には未知の脆弱性があると考えられ、特にこれまで攻撃の対象とされてこなかった(それ故にセキュリティ対策も後手に回ってきた)機器類については大きな危険が潜んでいること。スタクスネットは国家主導で、かなりのマンパワーをかけて開発されたとみられ、それ故に他の大国が同レベルの攻撃を繰り返す可能性は低いものの、スタクスネットにヒントを得たマイナーバージョンを独裁国家やテロ組織が使う可能性があること。そうしたマイナーバージョンでも、何らかの機器に一定のダメージを与えるのは十分に可能であることなどが解説されています。
確かにマルウェアは物理的な直接攻撃を行うものではなく、イランの遠心分離機を正確にどの程度破壊したのか、またそれによって核開発がどの程度停滞したのかについては、効果を疑問視する声もあります。しかしたとえ数年間とはいえ、発覚せずに遠心分離機の破壊行為を行えた(急に大規模な損害を与えて注目されないように、あえて緩やかな破壊に徹したのではという説もあるそうです)こと、また遠心分離機よりももっと攻撃が簡単で、攻撃された場合のダメージが大きい装置があることを考えれば、悪意を持った組織がスタクスネット型の攻撃手段を無視するだろうと考える方が難しいでしょう。特に今後、IoT(モノのインターネット)の普及によって攻撃対象となる機器類が増えると懸念されており、こうした手段の魅力が高まることになるかもしれません。
そして何より、「国家がゼロデイ脆弱性を利用した不正プログラムを使ってしまったこと」が問題であると本書は指摘します。たとえばスタクスネットが攻撃に成功する前に、シマンテックのような会社が関連するゼロデイを発見して、それをソフトウェア会社に通知する前に政府から「このゼロデイを公表するのは差し控えるように」と言われていたとしたら。あるいはゼロデイを発見し、それを公的機関に連絡したのに、修正では無くどこかの国を攻撃するのに使われたとしたら。政府やソフトウェア会社に対する信頼感が失われれば、現代社会を支える、様々なソフトウェアに対する信頼感も失われてしまうかもしれません。スタクスネットという存在自体は過去のものかもしれませんが、それが「パンドラの箱」を開けてしまったと本書は訴えます。果たして神話上のパンドラの箱のように、その底に希望が残っているのか――今はまだ、様々な懸念や危険が吹き出している状態であり、とても希望を見いだせる段階ではないというのが、本書の最も怖い部分かもしれません。
< 追記(1) 2014.11.29 >
ちょうどこんなニュースが。フレームのように情報収集を目的とし、スタクスネットに似た構造を持つマルウェア「レジン(Regin)」が発見されたそうです:
■ 政府・企業狙う高度なスパイウエア発見、英米政府が関与か(AFPBB News)
シマンテックの研究者はレジンの複雑な構造から、開発には相当の時間と資源が費やされており、国家が関わっているとの見方を示している。レジンは「(検出から逃れるため)目立たない構造になっており、長期間にわたってスパイ活動に使用できるようになっている。仮に検出されても、何をしているのかを突き止めるのは非常に難しい」と指摘。また、レジンの構成要素の多くは恐らくまだ検出されておらず、新しいバージョンも存在する恐れがあると分析した。
レジンの攻撃者が誰であれ、そして目的が何であれ、スタクスネットが開けた箱から何が飛び出すのか――全貌が見えてくるのは、まだまだこれからということなのでしょう。
< 追記(2) 2014.11.29 >
それからこんなニュースも:
■ 史上初のサイバー兵器「Stuxnet」の第一感染企業を特定(RBB TODAY)
一方Kaspersky Labのグローバル調査分析チームのリサーチャーが、2年にわたって2,000以上のStuxnetに関するファイルを収集・分析。今回、最初の標的を特定することに成功した。
今回の新たな分析では、最初に攻撃された5つの組織が判明したという。それらは、イランの産業制御システム(ICS)に携わる企業、ICS開発を手がける企業、素材・部品を供給する企業だったとのこと。とくに5番目に攻撃された企業は、産業オートメーション向けの製品以外にウラン濃縮遠心分離機も製造していた。この企業こそが、Stuxnetの標的だったとKaspersky Labは考察している。