未来の戦争は始まったばかりかもしれないが、それは爆発によって予告されるのではなく、音もなく、一人の死傷者も出すことなく始まった。
これはこの種の初めてのことであり、今後すべての戦争がどのように戦われるかを示すものになる可能性があります。 これは非常に精密なサイバー兵器であり、従来の爆発物よりも効果的に標的を破壊し、その後自分自身を削除するだけで、犠牲者は自分自身を責めることになります。 これは非常に恐ろしい武器であり、物理的な物体にダメージを与えるだけでなく、アイデアを破壊する可能性があると考えられます。 これは Stuxnet ワームであり、多くの人が世界初の本格的なサイバー戦争兵器と呼んでおり、その最初の標的はイランでした。
おすすめ動画
サイバー戦争の夜明け
Stuxnet は、トム クランシーの小説に出てくるようなものです。 地域全体と世界全体を脅かす原子力発電所を破壊するためにミサイルを送り込むのではなく、次のように主張する大統領が監督する。 彼は、人類全体が「地図から抹消される」ことを望んでいるが、単純なコンピュータウイルスを導入すれば、はるかに効果的な働きをすることができるという。 効果的に。 ミサイルで建造物を攻撃すると戦争につながる可能性があり、その上、建物が再建される可能性もあります。 しかし、システムを完全に感染させて、システムを使用している人々が自分の能力に対する信念を疑い始めると、長期的にはさらに壊滅的な影響が及ぶでしょう。
イランが寛容な稀な瞬間に、この国は 確認済み 7月に最初に発見されたStuxnetマルウェア(名前はコードに埋め込まれたキーワードに由来する)がこの国の核開発への野心を傷つけたという。 イランはこの事件を軽視しているが、一部の人々は、 レポート このワームの効果が非常に高かったため、イランの核開発計画が数年後退した可能性があることを示唆しています。
Stuxnet は、単純にシステムに感染して、そこに触れるすべてのものを破壊するのではなく、はるかに洗練されており、はるかに効果的です。
このワームは賢くて適応力があります。 新しいシステムに侵入すると、休止状態のままになり、コンピュータのセキュリティ システムを学習します。 警報を発することなく動作できるようになると、非常に特定のターゲットを探し出し、特定のシステムへの攻撃を開始します。 それは単に標的を破壊するのではなく、はるかに効果的なことを行い、標的を誤解させます。
核濃縮プログラムにおいて、遠心分離機はウランを精製するために必要な基本的なツールです。 製造される各遠心分離機は同じ基本的な仕組みに従っていますが、ドイツのメーカーであるシーメンスは、多くの人が業界で最高と考えるものを提供しています。 Stuxnet はシーメンスのコントローラーを探し出し、遠心分離機の回転方法を制御しました。 しかし、Stuxnet は、単にマシンが自滅するまで強制的に回転させるのではなく (ワームにはそれが十分に可能でした)、マシンに微妙ではるかに悪質な変更を加えました。
精製のために Stuxnet に感染した遠心分離機にウランサンプルを挿入すると、ウイルスは遠心分離機に設計よりも速く回転するよう命令し、その後突然停止します。 その結果、数千台の機械が予定より何年も早く摩耗し、さらに重要なことに、サンプルが台無しになりました。 しかし、このウイルスの本当のトリックは、機械を妨害しながら、読み取り値を改ざんし、すべてが予期されたパラメータ内で動作しているかのように見せかけることでした。
この状態が数カ月続いた後、遠心分離機は磨耗して壊れ始めましたが、測定値は依然として維持されていました。 基準内であるように見えましたが、プロジェクトに関係する科学者たちは再推測を始めました 彼ら自身。 イランの治安当局はこの失敗の調査を開始し、核施設の職員は恐怖と疑惑の雲の中で暮らしていた。 これは1年以上続きました。 もしウイルスが検出を完全に回避できたとしたら、最終的にはウイルス自体が完全に削除され、イラン国民は自分たちが何を間違っていたのか疑問に思うことになるだろう。
17か月間、ウイルスは静かにイランのシステムに侵入し、重要なサンプルをゆっくりと破壊し、必要な機器に損傷を与えました。 おそらく、機械やサンプルへのダメージ以上に、プログラムが混乱に陥ったことの方が大きかったでしょう。
イラン人は被害の一部をしぶしぶ認めている
イランのマフムード・アフマディネジャド大統領は、 主張した Stuxnet は「限られた数の遠心分離機に問題を引き起こすことに成功した」と述べています。これは、 イランは以前、このワームは 30,000 台のコンピュータに感染したが、核には影響を与えなかったと主張していた。 設備。 いくつかのレポート 提案する イランの濃縮プログラムを収容するナタンツ施設では、8,856台の遠心分離機のうち5,084台がイランの核施設で使用されている おそらく損傷により施設が停止し、工場は地震の影響により少なくとも2回停止を余儀なくされた。 ウイルス。
スタックスネットはブーシェフル施設に電力を供給するロシア製の蒸気タービンも標的にしたが、実際の被害が出る前にウイルスが発見されたようだ。 ウイルスが発見されていなかったら、最終的にはタービンの回転数が高くなりすぎて、発電所全体に修復不可能な損傷を与えていたでしょう。 温度および冷却システムも標的として特定されていますが、これらのシステムに対するワームの結果は明らかではありません。
ワームの発見
今年 6 月、ベラルーシに本拠を置くウイルス対策専門家 VirusBlokAda は、イラン人の顧客のコンピュータ上でこれまで知られていなかったマルウェア プログラムを発見しました。 ウイルス対策会社が調査した結果、このウイルスは特に Siemens SCADA をターゲットにするように設計されていることが判明しました。 (監視制御およびデータ収集)管理システム。大規模なシステムで使用されるデバイスです。 製造業。 このワームに何かが違うという最初の手がかりは、一度警報が発せられると、 警報を伝えようとした企業はその後攻撃を受け、少なくとも24年間の閉鎖を余儀なくされた 時間。 攻撃の手口や理由は未だ謎のままだ。
このウイルスが発見されると、世界最大手のウイルス対策会社であるシマンテックやカスペルスキーなどの企業も同様に、 いくつかの諜報機関は Stuxnet の調査を開始し、これが通常のマルウェアではないことをすぐに明らかにする結果を発見しました。
9 月末までに、シマンテックは、世界中で感染したマシンのほぼ 60% がイランにあることを発見しました。 それが発見されてからは、ウイルスが設計されたものではないことがますます明らかになりました 多くのマルウェアと同様、単に問題を引き起こすだけですが、これには非常に特殊な目的と 目標。 洗練のレベルもこれまでに見られたものをはるかに上回っており、このウイルスを最初に発見したコンピュータ セキュリティの専門家、ラルフ ラングナー氏は次のように述べました。 宣言する それは「第一次世界大戦の戦場にF-35が到着したようなものだった」と述べた。
仕組み
Stuxnet は特に Windows 7 オペレーティング システムをターゲットにしていますが、これは偶然ではなく、イランの原子力発電所で使用されているのと同じオペレーティング システムです。 このワームは 4 つのゼロデイ攻撃を使用し、特に Siemens の WinCC/PCS 7 SCADA ソフトウェアをターゲットにします。 ゼロデイ脅威は、未知であるか、メーカーによって発表されていない脆弱性です。 これらは通常、システムに重大な脆弱性であり、発見されるとすぐにパッチが適用されます。 この場合、ゼロデイ要素のうち 2 つは発見され、修正がリリースされる寸前でしたが、他の 2 つは誰にも発見されていませんでした。 ワームがシステムに侵入すると、ターゲットとしていたローカル ネットワーク内の他のシステムを悪用し始めました。
Stuxnet がイランのシステムを通過する際に、システムのセキュリティによって正規の証明書を提示することが要求されました。 次に、マルウェアは 2 つの本物の証明書を提示しました。1 つは回路メーカーの JMicron 製、もう 1 つはコンピューター ハードウェア メーカーの Realtek 製です。 両社は互いに数ブロック離れた台湾にあり、両方の証明書が盗難されたことが確認された。 これらの本物の証明書が、このワームが長期間検出されなかった理由の 1 つです。
このマルウェアは、インターネット接続が存在する場合にピアツーピア共有を介して通信する機能も備えていたため、必要に応じてアップグレードし、進行状況を報告することができました。 Stuxnet が通信していたサーバーはデンマークとマレーシアにあり、ワームが Natanz 施設に侵入したことが確認されると、両方ともシャットダウンされました。
Stuxnet がイランのシステム全体に広がり始めると、遠心分離機を担当する「周波数変換器」のみをターゲットにするようになりました。 このワームは、可変周波数ドライブをマーカーとして使用して、フィンランドに本拠を置く Vacon とイランに本拠を置く Fararo Paya という 2 つのベンダーのドライブを特に探しました。 次に、指定された周波数を監視し、システムが 807Hz から 1210Hz の間で動作している場合にのみ攻撃します。 この周波数は、このワームが世界中に拡散しているにもかかわらず、どのようにしてイランの原子力発電所をこれほど具体的に標的にすることができたのかを説明しています。 次に、Stuxnet は出力周波数の変更を開始し、接続されたモーターに影響を与えます。 少なくとも 15 の他の Siemens のシステムでも感染が報告されていますが、このワームによる被害を受けたものはありません。
最初に核施設に到達するには、ワームをシステムに、場合によっては USB ドライブに持ち込む必要がありました。 イランは「エアギャップ」セキュリティ システムを使用しています。これは、施設がインターネットに接続されていないことを意味します。 このワームがシステムに感染する唯一の方法は、広範囲をターゲットにして攻撃者として機能することだったので、このワームがなぜここまで蔓延したのかを説明できるかもしれません。 イランの原子力職員が感染したファイルを施設から離れて受け取り、それを物理的に施設内に持ち込むのを待っている間にトロイの木馬が侵入 植物。 このため、何の疑いも持たない従業員数名によって感染が持ち込まれた可能性があるため、感染がいつどこで始まったのかを正確に知ることはほぼ不可能です。
しかし、それはどこから来て、誰が開発したのでしょうか?
このワームの発生源に関する疑惑が蔓延しており、最も可能性の高い単一の容疑者はイスラエルです。 カスペルスキーはウイルスを徹底的に調査した結果、 発表された 攻撃のレベルと実行の高度さは「国家の支援があった場合」のみ実行可能であり、民間ハッカーの可能性は排除されている 目的を達成する手段としてハッキングを使用しているグループ、さらにはより大きなグループ(ロシアンマフィアなど)。 盗む 100万ドル イギリスの銀行から。
イスラエルは、サイバー戦争が自国の防衛原則の柱であると考えていることを完全に認めており、ユニット8200として知られるグループは、 イスラエル国防軍は米国の NSA にほぼ相当すると考えられており、最も可能性の高いグループとなるだろう 責任者。
8200部隊はイスラエル国防軍最大の師団であるが、その作戦の大部分は不明であり、部隊を指揮する准将の身元すら機密扱いとなっている。 その多くの功績の中の 1 つは、 報告 2007年にシリアの核施設とされる施設をイスラエルが空爆した際、8200部隊が秘密のサイバーキルスイッチを作動させ、シリアのレーダーの大部分を停止させたと主張している。
この理論にさらに信憑性を与えるために、イスラエルは2009年、イランが初歩的な核兵器を保有すると予想する時期を2014年に延期した。 これは問題を聞いた結果かもしれないし、イスラエルが他の誰も知らないことを知っていたことを示唆している可能性もある。
米国も主要な容疑者であり、今年5月にはイランが次のように主張した。 逮捕された 米国によるイランに対する「サイバー戦争」の支援に30人が関与したと主張している。 イランはまた、サイバー攻撃を利用してイランを不安定化させる計画にブッシュ政権が4億ドルの資金を提供したと主張している。 イランは、オバマ政権も同じ計画を継続し、一部のプロジェクトを加速させたと主張している。 批評家らは、イランの主張は「望ましくない者」を排除するための単なる口実であり、今回の逮捕はイランと米国の間の多くの争点の一つであると述べている。
しかし、ウイルスの研究が続けられ、その機能について多くの答えが明らかになるにつれて、ウイルスの起源についてさらに多くの謎が浮上しています。
Microsoft によると、このウイルスの開発には少なくとも 10,000 時間のコーディングが必要で、5 人以上のチームが少なくとも 6 か月の献身的な作業を必要としたと考えられます。 現在、このワームを作成するには、いくつかの国の諜報機関が協力する必要があるのではないかと多くの人が推測しています。 イスラエルには決断力と技術力があるかもしれないが、マルウェアをコーディングするには米国レベルの技術が必要になると主張する人もいる。 Stuxnet が行った範囲でシーメンスの機械の正確な性質を知ることは、ドイツ人を示唆するかもしれません。 関与しており、ロシア人はロシアの機械の仕様の詳細を明らかにすることに関与していた可能性がある 使用済み。 このワームは、フィンランドのコンポーネントが関与する周波数で動作するように調整されており、これはフィンランド、そしておそらく NATO も関与していることを示唆しています。 しかし、まだ謎が残っています。
このワームは、イランの核施設での活動によって検出されたのではなく、Stuxnet の広範囲にわたる感染の結果として検出されました。 イランの核処理工場の中央処理コアは地下深くにあり、インターネットからは完全に遮断されている。 ワームがシステムに感染するには、スタッフのコンピュータまたはフラッシュ ドライブにワームが持ち込まれている必要があります。 必要なのは、従業員 1 人が仕事を家に持ち帰り、戻ってきて何かを挿入するだけです。 コンピュータにフラッシュドライブを挿入するのと同じように無害であり、Stuxnet は特定のマシンへの静かな行進を開始します。 それは欲しかった。
しかし、そこで疑問が生じるのは、なぜウイルスの責任者はこれほどまでに洗練されたサイバー兵器を開発し、おそらくそのようなずさんな方法でそれを公開したのかということだ。 検出されないままにすることが目的である場合、これまでに示された速度で複製する能力を持つウイルスのリリースはずさんです。 問題はウイルスが発見されるかどうかではなく、いつ発見されるかだった。
最も考えられる理由は、開発者が単純に気にしなかったことです。 マルウェアをより注意深く植え付けようとすると、さらに時間がかかり、特定のシステムへのワームの感染にはさらに長い時間がかかる可能性があります。 差し迫った攻撃を阻止するために国が即時的な結果を求めている場合、警戒よりもスピードが優先される可能性があります。 イランの原子力発電所は、Stuxnet による実際の被害を報告している唯一の感染システムであるため、他のシステムへのリスクは最小限であると思われます。
それで、次は何でしょうか?
シーメンスは Stuxnet の検出および削除ツールをリリースしましたが、イランは依然として もがく マルウェアを完全に削除します。 つい最近11月23日、ナタンズのイラン施設は 強制的 閉鎖され、さらなる遅延が予想されます。 最終的には、核開発計画は再開され、実行されるはずです。
別の、しかしおそらく関連する話として、今週初めにイランのテヘランで、別々ではあるが同一の爆弾攻撃により2人のイラン人科学者が殺害された。 翌日の記者会見でアフマディネジャド大統領は、 言った 記者らは「間違いなく、シオニスト政権と西側政府が暗殺に関与している」と述べた。
本日早朝、イラン当局者は、 主張した 爆破事件で数人を逮捕したとされ、容疑者の身元は公表されていないが、イラン情報大臣は次のように述べた。 モサド、CIA、MI6の3つのスパイ機関が(攻撃)に関与しており、これらの人物の逮捕により、他の人物を逮捕するための新たな手がかりが見つかるだろう。 要素」
爆破事件とStuxnetウイルスによる被害の組み合わせが今後の協議に大きく影響するはずだ 12月6日にイランと中国、ロシア、フランス、イギリス、ドイツ、アメリカの6カ国連合との間で と7。 この会談は、イランの核開発の可能性に関する対話を継続することを目的としている。
