近年、ソフトウェアの脆弱性を利用し、特定の組織や個人を狙って情報窃取等を行う攻撃が報告されています。IPAでは2010年12月に、システムへの潜入等の「共通攻撃手法」と、情報窃取等の目標に応じた「個別攻撃手法」を組み合わせた「新しいタイプの攻撃」についてまとめたレポート^(*1)を公開する等、これらの攻撃に対する情報提供を行っています。
　この度、IPAセキュリティセンターでは、2010年7月頃から発生している、社会インフラをターゲットとしたStuxnet（スタックスネット）という攻撃について解析を行い、攻撃の特徴と対策をまとめた「脆弱性を狙った脅威の分析と対策について　Vol.5」を公開しました。 図１にStuxnetの攻撃の流れを示します。今回IPAでは、「ファイル（攻撃基地の設計図）」の部分を中心に解析を行いました。

図1：Stuxnetの攻撃の流れとファイルが持っている機能例

　Stuxnetのファイルを解析した結果、以下のことが明らかになりました。

• Stuxnetは５つのファイルから構成されており、ファイルには外部の攻撃サーバと通信を行うためのネットワーク設定、システム内部への侵入・攻撃、隠ぺい工作等の機能がある。
• 外部の攻撃サーバとの通信の際は、業務上で利用されることの多い80番ポートを利用するように設定する。これにより、業務上行う通信と、攻撃サーバと行う通信との区別がつきにくくなる。

　80番ポートは、業務上で利用する関係からポートを閉じることが難しく、ポートが開いている以上、マルウェアの行う通信を防ぐことは困難です。そのため、攻撃者との通信を遮断するため、以下のようなネットワークレベルでの多層的な防御を行い、攻撃の最終目標まで到達する前にネットワークを介した動きを封じるための施策を施しておくことが重要になります。 これらの対策の詳細については、IPAテクニカルウォッチ を御参照下さい。

• プロキシの認証情報のチェック
• HTTP、SSL、通信のヘッダーチェック
• スイッチ等でのVLAN（Virtual Local Area Network）ネットワーク分離設計
• 最重要部のインターネット直接接続の分離設計

　IPAでは今後も、新しいタイプの攻撃について調査・分析を実施し、攻撃に対する知識の普及、対策の促進のため、「脆弱性を狙った新たなる脅威の分析と対策について」として定期的に情報を発信していきます。
　「脆弱性を狙った脅威の分析と対策について　Vol.5」（全8ページ）は、次のURLよりダウンロードの上、ご参照ください。

• 「脆弱性を狙った脅威の分析と対策について　Vol.5」（全13ページ）(540KB)

IPA セキュリティセンター 小林／長谷川／相馬

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: