ScanDispatch「真のサイバー戦争の可能性、3つのレポート分析」

1月になって立て続けに、サイバー戦争およびStuxnetについてのレポートが発表されたので紹介しよう。

ひとつは、OECD（経済協力開発機構）の「Reducing Systemic Cybersecurity Risk」というレポート。もうひとつは、Securicon社のTom Parker氏がBlackHat AbuDabiにて発表した「Finger Pointing for Fun, Fame, Profit and War？」というタイトルの、Stuxnetのコード・アナリシスレポート。そして、ニューヨーク・タイムズ紙の「Israeli Test on Worm Called Crucial in Iran Nuclear Delay」と題した、Stuxnetの製作者についてのレポートだ。

まずはOECDのレポートだが、これは、OECDが多様な学会の専門家を世界中から招待し、専門分野と世界の未来についてのレポート執筆を依頼する、「Future Global Shocks」というシリーズの一環である。ちなみにOECDによる「Future Global Shocks」の定義は、世界的な経済危機、大規模な伝染病、危険物質による広範囲、長期な環境汚染、気候・火山噴火などによる長期的な航空路の遮断などだ。

今回の「Reducing Systemic Cybersecurity Risk」の執筆者は、London School of EconomicsのInformation Systems and Innovation Group付属、Peter Sommer博士、そして、Oxford UniversityのOxford Internet Institute所属のIan Brown博士の二人。両氏は、ハクティビズム、産業スパイ、大規模なサイバー犯罪などのサイバー・インシデントが世界に及ぼす影響を、インターネットのインフラや歴史的観点から考察し「テレコム・サービスやコンピュータのシャットダウンによる地域的な被害はあり得るが、サイバー行為が単独で世界的大惨事を招く可能性は低い」と結論づけている。この場合の「単独のサイバー行為」の例としては、BGP（Border Gateway Protocol）などのインターネットのプロトコルへの攻撃、天文太陽フレアを利用した人工衛星やセルラー・ベース・ステーションなどの破壊などを挙げている。

レポートが「真のサイバー戦争が起こる可能性は少ない」とする理由は、「重要なコンピュータ・システムは、既存のエクスプロイトやマルウェア対策が施されているため、サイバー兵器の製作者は新たな脆弱性を発見してそれをエクスプロイトするようにデザインしなければならないためであることと、サイバー攻撃自体が予想通り成功しなくとも、システムが相互結合しているために攻撃者自身や攻撃者の協力者に被害が広がることがありえるように、サイバー攻撃の結果を予測することが非常に難しいこともあげられる」からだ。

特に、「サイバー攻撃が成功するためには、ゼロデイ・エクスプロイト、攻撃ターゲットの綿密なリサーチ、攻撃方法と攻撃者の隠蔽、新しい攻撃ベクターを次々に発見する能力などが揃わなければならない」と、サイバー攻撃が有効となる前提をいくつかあげている。

また、マルウェア、DDoS、スパイ行為、サイバー犯罪、レクリエーション・ハッキング、ハクティビズムなどの影響は地域的、短期的なものに過ぎないとしており、その他にもレポートは、

・サイバー兵器はすでに広範囲にデプロイされている。それは、システムへの非権限アクセス、ウイルス、ワーム、トロイの木馬、DoS、ボットネットを使用したDDoS、ルートキット、ソーシャルエンジニアリングなどによる、秘密情報の漏えい、IDの盗難、Web改ざん、恐喝、システムのハイジャックやサービスの封鎖などがあるが、こうしたサイバー兵器は近い将来、ユビキタス化する可能性があること

・サイバー攻撃と他の攻撃との大きな違いは、攻撃を行っているとみられるコンピュータは、実際は攻撃者によって乗っ取られて攻撃用コマンドを増幅あるいはリレーするだけであるため、攻撃者の確定が難しいことにある。そのため、既存の攻撃を回避する方法（攻撃されたら仕返しするぞ！）は効果がない

ことなどを指摘している。

さて、このOECDのレポートを前置きにしてTom Parker氏とニューヨーク・タイムズ紙のStuxnetについてのレポートを読んでみると非常に面白い。

Tom Parker氏はStuxnetのコードを分析するとともに、自作のBlackaxonという、プログラミング・スタイルを分析するオープンソースのツールを使用し、Stuxnetが少なくとも5人のプログラマによって書かれていると結論づけている。

また、Stuxnetの本体はプロフェッショナルな作りになっているが、ドロッパーは幼稚な作りのため、「誰かがStuxnetの高度な部分を作成し、それを他のグループにあげるか売るかして、そのグループがラッパーで包んだ」とEsecurityPlanetのインタビューに答えており、Stuxnetの目的をTwitterのアカウントで「Stuxnetはイラン（原発）の遠心分離器をターゲットにしたものと言い切る」とツイートしている。

パーカー氏の発言を裏付けているのがニューヨーク・タイムズ紙の報道だ。ニューヨーク・タイムズ紙も、「数人の作者といくつもの大陸が関連しており」「シーメンス社のP.C.S-7というプロセス・コントローラ」が、「遠心分離器にしか見られないコンフィギュレーションで存在する時にのみ（Stuxnetの）ギアが入る」と書いている。

いろいろと憶測されているStuxnetの製作者については、

※本記事は有料購読会員に全文を配信しました

「Reducing Systemic Cybersecurity Risk」（OECD）
http://www.oecd.org/dataoecd/57/44/46889922.pdf

Tom Parker「Finger Pointing for Fun, Fame, Profit and War？」
https://media.blackhat.com/bh-us-10/presentations/Parker/BlackHat-USA-2010-Parker-Finger-Pointing-for-Fun-Profit-and-War-0.2-slides.pdf

「Israeli Test on Worm Called Crucial in Iran Nuclear Delay」（NYTimes）
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?ref=stuxnet

Inside Stuxnet: Why it Works and Why the U.S. Shouldn't Worry
（EsecurityPlanet）
http://www.esecurityplanet.com/features/article.php/3921041/Inside-Stuxnet-Why-it-Works-and-Why-the-US-Shouldnt-Worry.htm

（米国：笠原利香）