IPA、「Stuxnet」の解析結果と対策方法をレポート--多層防御が必要

　情報処理推進機構セキュリティセンター（IPA/ISEC）は3月30日、脆弱性を利用した新たなる脅威の実態把握と対策促進のための調査レポートの最新版「脆弱性を狙った脅威の分析と対策について Vol.5」（PDF）をウェブサイトで公開したと発表した。

　レポートでは、マルウェア「Stuxnet」の解析結果を紹介し、業務で使用している通信を狙うマルウェアへの対策の例を紹介している。最近の攻撃は被害情報が表に出てきづらく、被害に気付きにくい攻撃も増えてきている。IPAでは、知らないうちにビジネスに影響する情報漏えいなどを起こさないために、近年の攻撃に関する動向と対策を確認すべきとしている。

　Stuxnetを解析すると、このマルウェアが普段ウェブサイトを閲覧する際に使用される80番ポートへの通信を行うことが判明している。この通信は、普段から業務でも使用されているため、ファイアウォールなどをすり抜けてしまう。こういった攻撃は過去にも確認されている。レポートではまた、Stuxnetのファイルが持つ機能に「外部との通信（ネットワーク設定）」「パソコンへの侵入」「ファイルの隠ぺい工作」があることを確認している。

　Stuxnetに関連するファイルを詳細に解説しており、最初の攻撃がゼロデイの脆弱性を利用した攻撃であるため、ウイルス対策ソフトやソフトウェアを最新の状態にしているだけでは防げないとしている。レポートでは従来の対策方法に加え、ネットワークレベルでの多層的な防御における対策が必要であるとして、プロキシの認証情報やHTTP、SSL通信のヘッダーのチェック、対策を考慮したネットワーク設計が必要としている。

図：Stuxnetの攻撃の流れとファイルが持っている機能例（出典：IPA）