Tweet

システムやネットワーク設計に改めて注目を

IPA、既知の手法を組み合わせた「新しい攻撃」に注意喚起

2010/12/17

　情報処理推進機構（IPA）は12月17日、「Stuxnet」に代表される「新しいタイプの攻撃」への注意を呼び掛けるレポートを公開した。Stuxnetのターゲットとなった制御システムはもちろん、「ターゲットを変えれば一般のITシステムも被害を受ける恐れがある」（IPA セキュリティセンター 情報セキュリティ技術ラボラトリー長 小林偉昭氏）として、対策を呼び掛けている。

IPA セキュリティセンター 情報セキュリティ技術ラボラトリー長 小林偉昭氏

　Stuxnetは、原子力発電所などの制御システムを標的にするマルウェアとして注目を浴びた。国内でも、被害こそないものの、いくつか検出例が報告されているという。

　このStuxnetに代表される「新しいタイプの攻撃」は、海外では「APT」（Advanced Persistent Threats）と呼ばれている。パッチがまだ用意されていない未知の脆弱性を利用する、USBメモリなどを利用し、ファイアウォールを飛び越えて感染を広める、バックドアを作成し、外部の指令サーバと通信して新たな攻撃プログラム／ウイルスをダウンロードするなど、いくつかの特徴があるという。

　特に、打ち上げ用の「ランチャー」と「ペイロード」が分かれているロケットのように、侵入するための「共通攻撃」と、目標とするシステムを攻略する「個別攻撃」を組み合わせていることが特徴だ。Stuxnetの場合は、Windowsの未知の脆弱性を使用して「共通攻撃」を仕掛け、その上で、制御系システムに特化した「個別攻撃」を行っていた。だが、この「ペイロードを変えれば、対岸の火事とはいえない」（小林氏）。

　「新しいタイプの攻撃」が使う手法は、個々に見ていくと、以前から存在したものばかり。しかし、「いまある手法を組み合わせて、従来は侵入が難しいとされていた米軍や原子力システムの中に、実際に侵入してきている。明確な目的を持って、従来の手法を組み合わせていることが特徴」（マイクロソフト チーフセキュリティアドバイザー 高橋正和氏）という。

　IPAでは、個別に作り込まれるがゆえに対策が困難な個別攻撃に備える前に、まず共通攻撃への対策を提案している。

　小林氏は、ゼロデイ攻撃によってシステムに入り込まれてしまう可能性があることを前提に、指令サーバとの通信を遮断できるよう、システム・ネットワーク設計を根本から採ることが重要だと説明した。具体的な推奨策は以下の6つだ。

• プロキシの認証情報のチェック
• HTTP、SSL通信のヘッダチェック
• 未知のウイルスを検出可能なソフトウェアの導入
• スイッチなどでのVLANネットワーク分離設計
• 最重要部のインターネット直接接続の分離設計
• システム内P2P通信の遮断と検知

　特に、汎用OS／プロトコルの採用が進みオープン化してきた制御系システムについては、「本当に重要なところを洗い出して、（ネットワークを）切るべきところは切る、あるいは一方向のみの通信とするといったことを全体として考え、組み込んでいかなければならない。単に、ファイアウォールやIDSといった製品を置けばいいという時代ではない」（小林氏）と述べた。また、情報システムと制御システムを異なる部門が担当するケースが多いという現状を踏まえ、2つのシステムにまたがった脅威分析やシステム設計、対策などを実施する必要があると指摘している。