イランの核燃料施設へのサイバー攻撃は「オランダのスパイ」を潜入させて実行されたという詳細

by kalhh

2010年にイラン・ナタンツにある核燃料施設がサイバー攻撃を受けたことが明らかになり、その後、アメリカとイスラエルの情報機関がサイバー攻撃を主導したことも判明しました。しかし、実際にウラン濃縮に使われる遠心分離機がどのようにマルウェアに感染したのかはこれまで謎だったところ、新たに情報筋から「オランダのスパイ」が施設に潜入していたという詳細が明かされました。

Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran
https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html

2010年6月に発見されたコンピューターワーム「スタックスネット」は産業用制御システムに感染させることが可能であり、アメリカとイスラエルが協力してイランの核施設を標的とする攻撃で使ったことが明らかになっています。

アメリカによる対イラン用の電子戦計画「ニトロ・ゼウス(NITRO ZEUS)」の存在が明らかに - GIGAZINE

スタックスネットの存在は、感染範囲がイラン国外に拡大したことから、ベラルーシのアンチウイルスソフトメーカー・VirusBlokAdaが発見しました。このサイバー攻撃の詳細は2012年にニューヨーク・タイムズが報じ、翌2013年には、ドイツのニュース週刊誌・シュピーゲルの取材を受けた元NSA職員のエドワード・スノーデン氏が事実として認めています。一方で、アメリカとイスラエルがどのようにして高度に保護されたイランのコンピューターシステムにマルウェアを感染させたのかは、謎のままでした。

Yahoo Newsの情報筋によると、この作戦にはオランダの情報機関「AIVD」に雇われたスパイが関わっていたとのこと。アメリカとイスラエルから依頼を受けたAIVDはイラン人のエンジニアを雇い、イスラエル・ナタンツにある核施設を標的にするためのコードといった重要なデータを提供させました。また、スパイであるこのエンジニアはUSBドライブを使ってスタックスネットをシステムに感染させるための内部アクセス情報も提供したとされています。

by Jefferson Santos

AVIDがCIAとイスラエル諜報特務庁(Mossad)から依頼を受けたのは2004年のことですが、スパイが標的にスタックスネットを感染させるまでには3年の月日を要しました。それまでの期間、スパイは工員としてダミー会社で働いていたそうです。

行政・発電所・送電網など、イランの重要なインフラの活動を妨害するための大規模サイバー攻撃計画「ニトロ・ゼウス」は、オペレーション実行時には「オリンピック大会(Olympic Games)」と呼ばれていました。情報筋によると計画の中心はNSA、CIA、Mossad、イスラエル国防省、8200部隊でしたが、オランダやドイツ、フランス、イギリスの情報機関の援助も受けていたことから、コード名が「オリンピック大会」となったとみられています。ドイツはドイツ企業Siemensによって作られた遠心分離機の産業用制御システムの仕様や知識を提供し、フランスも同様の形で情報提供を行ったといわれています。

一方、オランダは他の国とは異なる計画への関わり方をしました。これはナタンツにある遠心分離機のデザインがパキスタンの科学者であるアブドゥル・カディール・カーンによって1970年代にオランダから盗まれたため。カーンは盗んだデザインを元にパキスタンの核プログラムを作り上げ、その後、イランやリビアといった国々にプログラムを販売しました。AIVDやCIAはカーンのサプライチェーン・ネットワークに潜入し、古典的なスパイ行為や、ハッキングなどを行ったとのこと。

AVIDがアメリカやイスラエルから遠心分離機を妨害する計画を持ちかけられたのは2004年ですが、従業員や顧客、活動履歴を持つダミー会社を設立するのには時間がかかりました。このため核開発計画は妨害されないまま2005年にイランはウランの使用を国際原子力機関に報告する合意履行を停止し、2006年にはナタンツにあるパイロットプラントに大量のフッ化ウランガスを配備。2007年2月にナタンツの施設に最初の遠心分離機を設置し、プログラムを開始しました。

そしてこれと同時に、オリンピック大会の計画も進行していきました。攻撃コードが開発され、2006年には遠心分離機に対する妨害テストが実施され、ジョージ・ブッシュ大統領にその結果が提示されました。ブッシュ大統領はテストが成功したことを確認して作戦を承認したといわれています。

2007年5月までに、イランはナタンツに1700台の遠心分離機を設置しており、その年の夏までにはその数を倍に増やす予定でした。しかし、2007年の夏前には、既にAVIDのスパイがナタンツの施設内に入り込んでいたとのこと。

by Arman Taherian

AVIDのスパイたちが最初に設立した会社は設立方法に問題があり、「怪しい」と思われて計画は失敗に終わりました。しかし、2つ目の会社でスパイたちは工員を装い施設内に侵入することに成功。遠心分離機の管理は職務の範囲外でしたが、システムへの攻撃に必要な遠心分離機の情報を集めることは可能でした。情報筋はこのとき集められた情報の詳細が何なのかを明かしませんでしたが、この情報を利用して、スタックスネットのコードを更新し、攻撃の正確性を上げることに成功したそうです。

スタックスネットが発見された後にリバースエンジニアリングを実施したセキュリティ企業のシマンテックによると、実際に、この期間にコードを修正した形跡が見つかっているとのこと。そして2007年9月24日に攻撃を行う上で必要な最終的な修正が行われ、最終段階であるコードのコンパイルが行われました。このコードは遠心分離機内の圧力を高め、時間の経過とともに損傷を引き起こし、ガスを廃棄することを目的とするものでした。

ナタンツにあるSiemensの制御システムはインターネットに接続されていなかったため、スタックスネットはUSBドライブを使う必要がありました。スパイはUSBドライブを使って制御システムに直接コードを挿入したか、システムを管理するエンジニアにUSBドライブを渡して感染させたかとみられています。

スタックスネットを感染させることに成功したスパイがその後ナタンツに戻ることはありませんでした。スタックスネットは2008年から妨害行為を続けましたが、オリンピック大会は2010年にコードを更新することを決断します。しかし、AVIDの雇ったスパイは既にナタンツから引き上げていたため、オリンピック大会は外部のターゲットにスタックスネットを感染させ、施設内に持ち込むように作戦を練りました。ターゲットとなったのは産業用制御システムの取り付けを担うイラン人の請負業者でした。

シマンテックのLiam O’Murchu氏は一度目と二度目の作戦の変化について「興味深い」と話しており、「オリンピック大会の技量が上がったため潜入スパイを危険にさらす必要なくなったのだろう」という考えを示しています。

2度目の作戦では標的にマルウェアを感染させるために複数の拡散メカニズムが仕込まれていたのですが、請負業者の他の顧客や、国外の人々にまで拡散が広がってしまい、スタックスネットの存在が明らかになってしまったとみられています。

by NASA

スタックスネットが発見された数カ月後にイラン政府はナタンツで複数の労働者を逮捕したことを発表しました。逮捕された労働者は処刑されたものとみられていますが、情報筋はこの中にオランダのスパイがいたかどうかを明かしていません。

スタックスネットはイランの核開発プログラムを大幅に後退させることはありませんでしたが、イランを交渉の席につかせることに成功し、最終的には2015年のイラン核合意へと至りました。なお、CIAやイスラエル諜報特務庁はYahoo Newsのコメント要請に反応を示しておらず、AVIDはコメントを拒否しています。