世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。

 産業機器などを攻撃するStuxnet(スタックすネット)の話題が後を絶たない。例えば最近では、IBM ISSがSANSでStuxnetの動作などに関するWebcastを公開。同社のブログ(Stuxnet webcast at SANS)上でもリンクを紹介している。ESETのブログにもStuxnetの話題があった(Stuxnet Unravelled…

よく話題に上る背景には、Stuxnetがいくつものゼロデイのぜい弱性を悪用していた、標的としている機器が企業のコンピュータにとどまらず産業機械に広がっていたなど、Stuxnetが謎めいたウイルスだったことがある。

 このうち興味深いのが米シマンテックのブログ「Stuxnetの新情報」である。Stuxnetの全体像把握につながる重要な情報を得たとしている(Stuxnet:A Breakthrough)。これまで、Windowsワーム「Stuxnet」(スタクスネット)の攻撃にどのような目的があるのか判明していなかった(関連記事:エフセキュアがワーム「Stuxnet」に関するQ&Aを公開)。この新情報に基づき、シマンテックはStuxnetの調査レポート(PDF形式)を改訂した。

 それによると、Stuxnetの攻撃対象は、ある企業2社製の周波数変換装置を備える工場制御システムだという。さらに、独シーメンスの工場向け産業用システム「SIMATIC」のプログラマブルロジックコントローラー(PLC)「S7-300」と通信モジュール「CP-342-5 Profibus」も対象にしている。つまり、Stuxnetの想定するシステムは以下のような構成となる。

 周波数変換装置はモーターに供給する電力の周波数を変える装置で、周波数が高いほどモーターの回転速度が上がる。Stuxnetはこの周波数を操作する機能を備え、数カ月にわたって回転速度を短い時間間隔で変え続けられる。その結果、攻撃を受けた工場は操業計画に支障をきたしてしまう。

 Stuxnetは出力周波数807~1210Hzの周波数変換装置に限って攻撃を実行するが、シマンテックは「この周波数範囲だと、通信販売業者の商品発送処理コンベアーは標的にならないだろう」とみる。また、600Hz以上という周波数がウラン濃縮処理用の周波数変換装置に求められる条件であることも指摘した。いずれにしろ、Stuxnetは短時間に周波数を1410Hzから2Hzまで落とし、1064Hzへ上げる攻撃を数カ月続ける。

 現在Stuxnetはセキュリティ業界で注目の的だ。例えば、米国のセキュリティ研究機関であるシステムアドミニストレーション&セキュリティインスティテュート(SANS)はStuxnetに関するWebキャストを開催した(Stuxnet webcast at SANS)。また米ESETのDavid Harley氏はシマンテックが行ったこの情報提供に素早く反応し、ブログ記事で称賛した(Stuxnet Unravelled…)。

マルウエアに誘うFacebookアプリ

 米マカフィーのウイルス対策技術研究機関「Avert Labs」は、「Facebook」アプリケーションからリンクされた悪質なJavaアプレットをブログ「マルウエア行きのFacebookアプリ」で取り上げた(Facebook App Links to Malware)。Facebookユーザーがある東欧系言語で書かれた特定のFacebook用アプリケーションページを閲覧すると、攻撃用ページに誘導されてしまう。このページは、「Sun Java MicroSystems」という発行者の署名済みJavaアプレット「Sun_Microsystems_Java_Security_Update_6」をホスティングしている。

 ここまでの処理で唯一怪しさを感じる部分は、同アプレットのデジタル署名が信頼できるソースで検証不能な点だ。ただし、ユーザーはこの警告画面でアプレットの実行許可を求められる。