Stuxnet攻撃の特徴と対策
IPAセキュリティセンターから「脆弱性を狙った脅威の分析と対策について Vol.5」が公開されています。
このレポートは、Stuxnetという攻撃について解析を行い、攻撃の特徴と対策をまとめたものです。
その中で、私個人が特に興味があったのは、以下のくだりです。
4.解析の困難さについて
4.1 検体の特徴による困難さ
今回の検体は以下の理由により、解析が困難な点がありました。
複数のコンポーネントを持ち、main.dllは約4800の関数(内20を超えるExport関数)
を持つなど非常に多機能であった
環境に強く依存するため、外部サーバとの通信部分を解析で実際に動作させることが困難であった
特定の産業制御システムに関する部分については、このシステムについての知識不足やシステム自体の用意が困難であることから、解析できなかった4.2 外部環境の変化による困難さ
今回の解析では、このマルウェアと通信を行う外部サーバがすでに閉鎖されていたため、実際の通信内容を取得することができず、その通信によって最終的にどのようなことが起こるのかの特定には至りませんでした。
Stuxnetは一般に広く知られるようになってから半年以上が経過しており、検体解析時点で外部サーバが閉鎖されていたことを考えると、その目的や実際の動作を理解するためには、より迅速に検体取得、解析を行う必要があると考えられます。
なぜ、解析が難しかったのか、対策が難しかったのか、それもまとめられています。
なるほど、今後の産業制御システム関係での対策では、かなり参考になりますね・・・。
| 固定リンク
「お役立ちのイベント・資料・書籍・情報」カテゴリの記事
- 「スマートフォンのセキュリティ対策のしおり」公開(2011.11.02)
- 「情報化白書2012」発刊記念シンポジウム「生活情報化とセキュリティ」開催(2011.10.18)
- 「インターネット安全教室」ビデオ教材、リニューアル(2011.10.17)
- 「情報セキュリティシンポジウム道後2012」(2011.10.11)
- 「2011 日韓情報セキュリティシンポジウム」(2011.10.06)
この記事へのコメントは終了しました。
コメント