2010年6月(発見)T1
Stuxnet ── 国家が放った史上初の物理破壊型サイバー兵器
2010年6月、 ベラルーシのアンチウイルスベンダー VirusBlokAda の解析者がイランの顧客企業のシステムから不審なマルウェアを発見。 後に Symantec、 Kaspersky、 Langner Communications らの共同解析で全貌が明らかになる。 Stuxnet は4つのゼロデイ、 盗まれた正規のデジタル署名(Realtek、 JMicron)、 Windows と Siemens の Step7 / WinCC(PLC プログラミング環境)を経由してイラン・ナタンズのウラン濃縮施設の遠心分離機を物理的に破壊する設計だった。 米 NSA とイスラエル軍 Unit 8200 の共同作戦「Olympic Games」とされ、 推定で約1,000台のウラン濃縮用遠心分離機(IR-1)を破損させた。 「国家が物理世界の破壊を目的にマルウェアを使った」最初の事例として、 サイバー戦の概念を根本から定義し直した。
メタデータ
- 日付
- 2010年6月(発見)
- 年代
- 2010s
- Tier
- T1
- 参照年表
- サイバーセキュリティの歴史
- 出典数
- 05
- 関連項目
- 00
Stuxnet ── 国家が放った史上初の物理破壊型サイバー兵器
2010年6月、 ベラルーシのアンチウイルスベンダー VirusBlokAda の Sergey Ulasen は、 イランの顧客企業から「PC が再起動を繰り返す」という相談を受けた。 解析の末に彼が抽出したマルウェアは、 当時のセキュリティ業界の知見をすべて飛び越えた水準の代物だった ── 後に Stuxnet と命名されるこのコードこそ、 国家が「物理世界を壊すために」設計した最初のサイバー兵器だった。
異常な技術スタック
Stuxnet が他のマルウェアと一線を画したのは、 投入された資源の桁が違ったことだ。
- 4つのゼロデイ脆弱性: 単独のマルウェアが同時期に複数のゼロデイを使うのは異例。 Stuxnet は LNK ショートカット(CVE-2010-2568)、 印刷スプーラ(CVE-2010-2729)、 Win32k(CVE-2010-2743、 CVE-2010-3338)の4つを同時に動員した。 当時のゼロデイは闇市場で1個あたり数十万ドル ── つまり兵器化のコストだけで百万ドル単位。
- 盗まれた正規署名: 台湾の Realtek Semiconductor と JMicron Technology から盗まれたコード署名証明書を使い、 Windows ドライバを「正規」として認証させた。 両社は同じ新竹サイエンスパーク内に拠点を持つ ── 物理的な侵入による盗難を疑わせる状況。
- Siemens 産業制御システムへの深い理解: 標的は Siemens Step7 / WinCC で動く Siemens S7-300 PLC。 Stuxnet はその PLC の特定のロジック(高速ベクトル制御で動作するモーター周波数変換器、 製造元 Fararo Paya(イラン)と Vacon(フィンランド))のみに反応した。 つまり標的の物理構成を、 攻撃者は事前に正確に把握していた。
これらの組み合わせは、 民間犯罪組織や趣味のハッカー集団には作れない。 Stuxnet の存在自体が、 国家アクターの関与を技術的に証明していた。
ナタンズで何が起きたか
イランの ナタンズ・ウラン濃縮施設 には、 IR-1 と呼ばれる旧型遠心分離機が数千台、 カスケード接続で稼働していた。 Stuxnet は感染した PC から USB を介して、 ナタンズの「エアギャップ」されたはずの産業制御ネットワークへ侵入する。
PLC に到達すると、 Stuxnet は2種類の攻撃を仕掛けた。
- 周波数の操作: 遠心分離機の駆動モーターを通常の 1064 Hz から、 突如 1410 Hz(破断応力近く)に上げ、 数分後に 2 Hz に落として停止寸前まで減速 ── これを27日に一度ほどの頻度で行う。
- 計器の偽装: 攻撃中、 PLC は SCADA 監視画面に対し「すべて正常」のテレメトリを送り続ける。 オペレータは何が起きているかを知る術がない。
結果として、 2009年末から2010年にかけてナタンズでは 約1,000台の IR-1 遠心分離機が原因不明で破損 した(IAEA の査察記録および後の分析と一致)。 国際原子力機関の査察官は当時、 イランが「予想以上に大量の遠心分離機を交換している」ことに気づいていた。
帰属 ── Olympic Games
2012年6月、 New York Times の David Sanger が、 オバマ政権関係者への取材に基づき、 Stuxnet が米国 NSA とイスラエル軍 Unit 8200 の共同作戦「Olympic Games」(Bush 政権下で開始、 Obama 政権が継続・拡大)の一部であったと報じた。 米国・イスラエル政府は公式には認めていないが、 オバマ政権高官による事後の自己引用や、 退役した NSA 局長らの発言を通じて、 事実上の追認が続いている。
ナタンズに対するこの作戦の目的は明確だった ── イランの核兵器開発時間を「物理的に」遅らせ、 同時に、 イスラエルがイランを空爆するインセンティブを下げること。
残したもの ── サイバー戦の再定義
Stuxnet 以前にも、 サイバー諜報(情報窃取)と分散型サービス拒否は国家行為としてあった。 しかし、 マルウェアが 物理インフラを物理的に破壊した 事例は、 公開された情報のなかでは Stuxnet が最初である。 これによりサイバー領域は、 諜報と妨害の領域から、 動的破壊(kinetic effect)を生み出す 第5の戦域 へと再分類された。
副次的な影響も大きい ── Stuxnet のコードはやがて野に流出し、 派生マルウェア Duqu(情報収集型)、 Flame(中東を標的にした大規模スパイウェア)、 そして後のロシア製・北朝鮮製の産業制御マルウェア(Industroyer、 Triton など)の系譜を生んだ。 攻撃者側だけでなく、 産業制御セキュリティ(OT セキュリティ)という分野そのものが、 Stuxnet 後に独立した工学領域として確立した。
「国家がコードで物を壊す時代」の起点として、 Stuxnet は今も参照され続けている。