世界初のサイバー兵器とされてきた「Stuxnet」の前にさかのぼる妨害マルウェア「fast16」が見つかる

2010年に報告されたStuxnetは、アメリカ国家安全保障局(NSA)とイスラエルの情報機関によって作成されたマルウェアであり、イランの核施設を標的としたサイバー攻撃に使用されました。Stuxnetは世界初のサイバー兵器ともいわれてきましたが、そんなStuxnetより前にアメリカが開発したとみられるマルウェア「fast16」を発見したと、サイバーセキュリティ企業のSentinelOneが報告しました。

fast16 | Mystery ShadowBrokers Reference Reveals High-Precision Software Sabotage 5 Years Before Stuxnet | SentinelOne
https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/

Pre-Stuxnet Sabotage Malware 'Fast16' Linked to US-Iran Cyber Tensions - SecurityWeek
https://www.securityweek.com/pre-stuxnet-sabotage-malware-fast16-linked-to-us-iran-cyber-tensions/

StuxnetはNSAとイスラエルの情報機関が共同開発した、世界初のサイバー兵器といわれるマルウェアであり、産業用制御システムに感染して害を及ぼします。2010年にイランの核燃料施設にあるウラン濃縮用遠心分離機が受けたサイバー攻撃では、約8400台もの遠心分離機が稼働不能になる被害を与えたとのこと。

なお、イランの核燃料施設への攻撃は「オランダのスパイ」を潜入させて実行されたと報じられています。

イランの核燃料施設へのサイバー攻撃は「オランダのスパイ」を潜入させて実行されたという詳細 - GIGAZINE

SentinelOneは最初からStuxnetの前に存在したマルウェアを探そうとしていたのではなく、軽量なスクリプト言語であるLuaをWindows向けマルウェアにおける組み込みエンジンに利用した初期の事例を探していたそうです。

その結果、2005年にさかのぼる「svcmgmt.exe」というバイナリと、それに組み込まれたLua 5.0の仮想マシンが見つかりました。仮想マシンは「fast16.sys」というカーネルドライバを参照しており、これはファイルシステムの出入力を制御する機能を持っていることに加え、国家による利用を示唆するルールベースのコードパッチ機能も備えていました。

「fast16」というドライバについては、NSAと関連するハッカー集団から機密情報やハッキングツールを盗み出したThe Shadow Brokersが2017年にリークした文書で言及されていたとのこと。

パッチが適用されているパターンを当時使われていたソフトウェア群と照合したところ、「fast16」は2000年代半ばに登場した高精度エンジニアリングおよびシミュレーションソフトウェアである「LS-DYNA 970」や「PKPM」、そして流体力学モデリングプラットフォームの「MOHID」との重複が強くみられました。

これらのソフトウェアは衝突試験や構造解析、環境モデリングといった用途に用いられていたとのこと。中でも「LS-DYNA 970」は、イランの核兵器開発に関連するコンピュータモデリングの研究で引用されていたそうです。

「fast16」はこれらのソフトウェアの高精度計算ツールの実行フローを乗っ取ったり、影響を及ぼしたりするように設計されていた可能性があります。SentinelOneは、「このフレームワークは物理世界の計算に小さくても体系的な誤差を導入することで、科学研究プログラムを阻害したり、遅らせたり、時間経過とともに工学システムを劣化させたり、さらに壊滅的な被害を引き起こしたりする可能性があります」と述べました。

分析を行ったSentinelOneは、「fast16」はStuxnetの数年前に国家によって開発されたマルウェアであり、サイバー兵器の歴史に示唆を与える「デジタル化石」だと指摘。「fast16は高度な能力を持つ主体が長期的な工作活動や破壊工作、そしてソフトウェアを通じて物理的な世界を再構築する国家の能力について、どのように考えているのかを理解するための指針となります」と主張しました。