2015/02/26(木)<サイバー攻撃進化の三段階の理解が、日本の安全保障のためになる>
【バラいろダンディ】 http://s.mxtv.jp/barairo/
*敬称略しています。 また長文ゆえ誤字脱字が多いです。ご了承ください。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
苫米地英人の言わせろ!ダンディ
┏┓『サイバー攻撃進化の三段階の理解が、日本の安全保障のためになる』
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第一段階
┣■2009年以前のウィルスの時代
◆O/Sのセキュリティーホールを利用した“ウィルス/マルウェア”
→ 対策:ウィルスやマルウェア“情報を世界で管理”
・日本は設立された【JPCERT】(現在は独立の一般社団法人)
O/S開発者、ウィルス対策ソフト会社がこれを受け対策。
また企業などを指導。
・重要な点:ユーザが頻繁にO/Sやウィルス“対策データを更新する”。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◇苫米地英人 認知科学者
・O/S(Operating System)ってありますよね【マイクロソフト】とか。
あーいうのも必ずセキュリティーホールがあって、誰か発見するとそこで
ウィルスが作られます。
・それを「世界的に一元管理しよう」っていうので
【カーネギーメロン】(大学)の中に『CERT』というのが出来ました。
そこは【国防総省】のダーパDARPA という予算で作られたんですけど、
・それに各国で協力機関が出来て、日本は【JPCERT】当時は通産省、
今は独立している社団法人になってますけど、そこがそういったところが
情報を集中させる。
・そしてそれをO/Sメーカーだったり、ウィルス対策会社がドンドン*2
ソフトを作っていくという対策をしてました。
・この時代問題だったのは、ウィルス対策ソフトを入れなかったり、
O/Sを頻繁にUpdateしないと危ないってことですよね。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第二段階
┣■2010年11月のStuxnetゼロデイ攻撃以降
◆イランの核濃縮プラント遠心分離機がマルウェアStuxnetにより
破壊された。
→ “外部ネットワークに繋がっていないマシン”が乗っ取られた。
・SCADAコード315(シリンダ制御)と、
SCADAコード417(バルブ制御ができる)を
マルウェアが乗っ取り、コード315PLC制御。
2011年
【米国イリノイ州】
水道プラントにロシアからと見られる“SCADA攻撃”
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◇苫米地英人 認知科学者
・それから(第一段階)から大きく絵が変わってるんです。
2010年にコレ変わっているんですけど、Stuxnetというコレ
ゼロデイ攻撃と言いますけど、イランに核濃縮プラントがあるんですけれども
その1400台くらいの遠心分離機がマルウェア、要するにウィルスの大きいヤツに
よって破壊されました。
・で、どうやって破壊されたかって言うと、SCADAという前も言いましたけれど
制御するためのソフトウェアの抽象部・ちょっと高い所で皆でメンテナンスし易い
ようにマクロみたいなのを書くんですけれども、その【シーメンス】社製のソフトの
315番と417番って、シリンダを実際に制御しているのとバルブを制御している
そのソフトをマルウェアが乗っ取りました。
・そして実際315番っていうのが、実際はどうやったかっていうと
シリンダの回転速度を千何百~千Hzくらいで普段回転しているのを
千二百~千三百Hzくらいに、ほんのちょっと上げたんですよ。
・そしてモニターには「正常」と出しておくと、半年経ったら1400台くらいの
遠心分離機が全部壊れちゃった。
・その時に問題になったのは、実際はコレがネットワークに繋がってない
パソコンというかWindows のサーバーですけどマシンだったということがまず1つと
・それとゼロデイって言うんですけど、実際に発見されて【カーネギーメロン】(大学)
のCERTに報告される前のものが4つくらい組み合わされているんで、ということは
コレ、いくらウィルスソフトを入れても無駄じゃないですか? という新しい状態に
なっちゃったのがコレですね。
・で、実際は“SCADA攻撃”を、今回“Stuxnet攻撃”をやったのは、
スノーデンさんの本に、
イスラエルのモサド(諜報特務庁)とアメリカのNSA(国家安全保障局)の
協力団体・グループがやったってことが暴露されちゃったんで。
・これアメリカですけど、実際に2011年は恐らく“Stuxnet”が
世界中に広がっちゃったので、それを利用したと思われますけれども、
【米国イリノイ州】の水道プラントに、実はロシアから“SCADA攻撃”を
実際されているんです。
で、アメリカ政府は「これは実際の技術者の手違いで、別にロシアの攻撃じゃない」
ていう風に言ってますけど。。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◆2011年3月
原発事故時【福島第2原発】の制御プログラムが乗っ取られていた可能性。
・重要な点
A.ゼロデイとUSB経由 → アンチウィルスソフトや
“ファイアーウォール”が無効。
B.ウィルス対策ソフトをWindows や、Mac O/S を“頻繁にUpdateするべき”。
C.インターネット接続が許可されるソフトは、パソコンではなく
“携帯端末を使用。LINE・Skype など”乗っ取られるリスクあり。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◇苫米地英人 認知科学者
・例えば2011年、これはあまり外で言われていないんですが、3月の
原発事故時に【福島第2原発】の制御プログラムが乗っ取られたということが
海外から、あのぉ国はちょっと言えないんですけれども、ということがハッキリと
当時、技術者が出していてレポートまでも出て、一部は本になってます、今。
事実です、コレは。
・その時どうやったかって言うと、あのぉ「緊急停止」しましたよね?
「緊急停止」をしたものを「手動制御」にするために技術者が派遣されて
そして中で沢山のマシンを同時にパスワードを入れたりしなければいけないんです
けれども、そういうことをやっている時に、どうしても「自動制御」から「手動」に
マニュアルにオーバーライト(上書き)、換えられないんですよ。換えられないので
調べてみたら、海外製のマルウェアが仕込まれていたということが当時知られている
ので、可能性があるのはSCADA攻撃”が、実は原発の時もやられていて、
原発事故そのものじゃないですけど、既に組み込まれていたというリスクが
その時ようやく発見されたのは、事故が遭って発見されたわけですから。
◇今井雅之 俳優
・そうです。実際にプロの技術者が だって当時は中、触れないんですもんね。
これは言えませんけれど、
ヘリコプターで行って、そしてやって
皆で一斉にやるんです。どうしても手動にできないんで、だからソフトを調べたら
外国製のウィルスが簡単に言うと仕込まれたってことが、事故が遭ったから
発見されたんですけれども。
・で、重要な点はこれゼロデイですから、
CMU(米【カーネギー・メロン大学】)に集まる段階の前のものでしょうね。
それからUSBで入ってきたこと。 これ、アメリカのある連邦省庁では、
連邦省庁の前にUSBを置いとくと、省員の60%が自分のパソコンに
差しちゃって、そしてそこに省庁のロゴがあると90%が差しちゃってたりするんで
置いとくだけでも行っちゃうんで、ということはアンチウィルスソフトや
ファイアーウォールが無効なんですよ。
・だからやるべきことは、ウィルス対策ソフトをWindows やMac O/S、とにかく頻繁に
Updateして欲しいということ。
・それからインターネット接続が許可されるソフトは、パソコンではなく・使うな!
例えばLINEとかSkype などやる時は“携帯端末”を使って下さい。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第三段階
┣■2014年2月 Equation Group 報告書以降
◆MS Windows、一部のMac O/Sに“スパイウェアが見つかった”。
→ ハードディスクの通常読めない部分に“感染”。
・重要な点
A.ハードディスクのBIOS“書き換え技術”が高度。
B.制御プログラムの“ソースコードを手に入れた”と推測。
C.もはやゼロデイではなく、“マイナスワンデイ”
D.“ソースコードアクセス、プログラム技術、感染マシン”が
【ロシア】と【イラン】に特に多い。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◇苫米地英人 認知科学者
・これ先週やって「よく分からない」って言われたんで解説しようと思ったんですけど
・2014年2月、今です。MS Windows と、一部のMac O/Sにスパイウェアが
見つかった。これ何かというと、通常“読まない部分”に入っているんですよね。
重要なのはBIOSって、Basic Input/Output System って言いますけど、
そのコンピュータソフトの一番基本的な所を実際書き換えられていた。
そして制御プログラムの“ソースコード”を手に入れないとできない。
・てことはコレ、私が名前付けたんですけど、ゼロデイではなく“マイナスワンデイ”
なんで、O/Sの開発者が一緒に協力をしているか。
O/Sの開発部から泥棒されたか。 どっちかなんですよ。
・で、ソースコードのアクセスがあって、プログラムの技術があり、
感染マシンが、ロシアとイランに多いんで、あの
ロシアの【カスペルスキー】は「これは【NSA】がやった」とハッキリ言っていて
そこに【日立】とか【サムスン】、【東芝】とか出てますけれども、
カスペルスキー 2015 マルチプラットフォーム セキュリティ|カスペルスキー
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┣■【カスペルスキー】による Equation Group 報告書
1.【NSA】以外でも、既に埋め込まれた“BIOSコードを利用可能”。
2.ロシアは“同程度の攻撃力”を持つことが示唆された。
3.ソースコードアクセスを持つ以上、次々と“マイナスワンデイ”攻撃が
生み出される可能性。
4.各国の“ハクティビストに技術”が拡散中。日本も既にリスク下にある。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◇苫米地英人 認知科学者
・【NSA】以外でも既に書き換えられた“BIOSコードを利用可能”なんで
今回Equation Group の報告書が余りにも詳細なんで、
誰でも真似できる。
・少なくともロシアはアメリカと“同程度の攻撃力”を持つってことが
今、彼らは言ってるわけです。
・それからソースコードを持っているってことは、これから新しい攻撃がドンドン
拡散していく可能性がある。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗<結論>
1.今後アンチウィルスソフトは、アンインストール。
2.Windows や、Mac O/S は、“最新の状態にUpdate”する。
3.使わない時は“電源を小まめに切る”。
4.『2000年問題』以上のリスク。国内の【原発】を含む
“重要施設の制御コード”を全て書き換えるべき。
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◇苫米地英人 認知科学者
・これはちょっとメーカーの人に怒られるかもしれませんけど、
アンチウィルスソフトは皆さんアンインストールして下さい。
アンインストール、「抜く」ってことです。
【アップル】も【マイクロソフト】もアンチウィルスソフトメーカーが
強力なお客さんなんで言えないんですけど、アンチウィルスソフト抜いて
下さい。アンチウィルスソフトが実は乗っ取られて、今回も、イランもそうで
アンチウィルスソフトが一番深い権限を持っているので、
アンチウィルスソフトを入れることでリスクがある。
アンチウィルスソフトを入れても攻撃は、アンチウィルスソフトが作られる
前のマイナスワンデイかゼロデイなんで、アンチウィルスソフトは役に立たない
んです。
・それとCMU(米【カーネギー・メロン大学】)CERTのメンバーに
【アップル】も入ってますから、【マイクロソフト】も入ってるんで、
Windows や、Mac O/S を小まめにUpdateしていれば、絶対にアンチウイルスソフトと
同じ機能が入っているんで、
アンチウィルスソフトはアンインストール。そしてマメにUpdate。
・そして使わない時は電源を切る。ルーターの電源も切って下さい。
ていうのは、自分のマシンやルーターが乗っ取られて、
サイバー攻撃に自分のマシンが利用される可能性があるので。
自分のマシンに重要な物が入っていなくても利用されます。
・そして『2000年問題』以上のリスクがあるんで、
今後、国内の【原発】は全て、それ以外の重要施設も
制御コードを見直すんじゃなくて、見直しても見えない所が書かれてるんで
全て書き換えるべきだと僕は思っています。
迎えない(?)限りは、日本の【原発】は危ないです。
◇今井雅之 俳優
いや、分からないですね。 これ【政府】動いているんですか?
ここに関しては。
【民主党】政権の時はあんまり気にしてなかったけど、
今の【自民党】政権はやっぱり気にするべきでしょうね。
◇今井雅之 俳優
いや、【原発】はちゃんとやってもらいたいよね。
◇感想‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
┣・少し難解で疲れた。苫米地氏、早口で捲し立てるからなぁ。(苦笑)
┣・サイバー攻撃は、第何次体系の戦争だって言われてたかなぁ。*ど忘れ*
一連の流れがよく分かる解説でしたね。引っ越してからパソコン本体も
ルーターも電源をあまり落としていないなぁ。サーバー攻撃の遊撃手として
寝ている間に使われたりしているかな ??
┣・アンチウィルスソフトの話は結構巷でも言われていて、自分も更新迫って
迷ったんですが、結局のところ更新権利を購入しました。深層部ではご指摘
通りだと元ソフトウェア開発者としては同意するのですが、取りあえずは
目前のウィルスを即座に退治してくれないと困りますからね。エロサイトを
たまには覗く野郎としては、基本ソフトであるWindows や、Mac O/Sが
防御・除去してくれるか、よく分からないじゃないですか? メーカーとの
癒着が強いそうだから、今後もきっと分かりやすいアンチウィルス操作画面は
用意してくれないと思うし。(Windows 10ではやっている ?? )
┗・結局のところはココでも“人災”なんですよね。欲に目が眩んだ、あるいは
愉快犯的な思惑が働いて。【原発】に携わる関係者は身元チェックから相当
厳しかったみたいですが、他はと言えばかなり“お粗末”ですからね。
例えば【鉄道】。信号制御が市販PCで動かしていたといったら驚きます?
今回指定されたメーカーのものではなかったけれど、BIOSが乗っ取られて
いたら、そりゃ一大事ですよ。ソースコードのコメント欄によく愚痴を書いて
ましたね。深夜2時過ぎまで工場で働かされて。(苦笑)