2010年初夏、イランの1台のコンピューターが、意味もなく再起動を繰り返すようになった。「悪意あるソフトウェア（マルウェア）」の関与を疑ったウイルス対策ソフト会社VirusBlokAda社（ベラルーシ・ミンスク）のウイルスアナリストたちは、インターネットで異常な動作をしているコンピューターを調べ、まもなく、自分たちの推測が正しいことを知った。彼らは不安と不気味さを感じた。イランのコンピューターから抽出したそのコードは、前例のない大きさと複雑さを持つ、未知のコンピューターウイルスだったからだ。

2010年6月17日、VirusBlokAda社は全世界に警報を発し、ウイルスの正体を突き止めるための国際競争が始まった。Stuxnetと呼ばれるようになったこのウイルスは、これまでに発見されたマルウェアの中では最も精巧にできていて、新世代のサイバー攻撃の先触れとなるものだった。従来のマルウェアがコンピューターとネットワークからなる仮想世界だけにダメージを与えるのに対して、Stuxnetの標的は、ポンプや弁、発電機などの産業機器を制御するソフトウェアであることがわかったのだ。

世界最大のコンピューターセキュリティー会社であるシマンテック社（米国カリフォルニア州マウンテンビュー）のセキュリティー対応部門を率いるLiam O Murchuは、「現実世界にダメージを与える能力があって、実際に機械を壊すことに成功し、爆発を引き起こすことさえできるかもしれないウイルスを分析したのは、これが初めてでした」と言う。

Stuxnetは、ある種の集団や国家が、社会にとって必要不可欠な水やエネルギーのインフラに対してサイバー攻撃を仕掛けることができるという、まさにぞっとするような可能性を実証した。ウイルス対策会社のエフセキュア社（フィンランド・ヘルシンキ）の主任研究員であるMikko Hypponenは、「我々はおそらく、サイバー軍拡競争の時代に入りつつあるのでしょう」と指摘する。

さらに悪いことに、今回のStuxnet騒ぎは、サイバー攻撃から社会を守る体制が十分でないこと、そして、サイバーセキュリティー科学には大きな欠点があることを浮き彫りにしてしまった。

シマンテック社も驚いたウイルス

コンピューターセキュリティー会社は、市場では互いに競い合っているものの、Stuxnetのような脅威に対しては、舞台裏で緊密に協同して対応することが多い。例えば今回も、VirusBlokAda社が警告を発した直後に、カスペルスキー社（ロシア・モスクワ）とマイクロソフト社（米国ワシントン州レドモンド）が協力して、このウイルスが狙ったウィンドウズOSの脆弱性を特定した（ちなみに、このウイルスのコードに隠されていたファイルの1つにちなんで「Stuxnet」という名前をつけたのはマイクロソフト社である。また、Stuxnetは宿主となるファイルがなくても感染し、単独で活動することができるため、厳密には「ウイルス」ではなく「ワーム」という種類のマルウェアである。しかし、ウイルスという言葉は、自分自身を複製するマルウェアの総称にもなっているため、専門家もワームをウイルスと呼ぶことが少なくない）。

最も大掛かりで包括的な対応の1つは、シマンテック社の主導によるものだった。シマンテック社は、O Murchuと世界中に広がる彼の専門家チームを、3か月間、24時間体制でStuxnetに取り組ませた。この作戦の主要な拠点の1つになったのが、シマンテック社のマルウェア研究室（米国カリフォルニア州カルバーシティー）だった。ここは、バイオセーフティーレベル4の生物実験施設のデジタル版のような場所である。

ドアには訪問者に対する警告が掲示されていて、入室の際には、コンピューター、USBフラッシュドライブ、スマートフォンは外に置いてくるようにと書かれている。いちど室内に入った電子機器は、たとえ間違いで持ち込んでしまった場合でも、二度と外に出すことはできない。研究室に入ったチームは、まずはシミュレーションされたネットワーク環境にStuxnetを感染させて、ウイルスがどんなことをするのか観察した。ウイルスは信じられないほど大きかった。このソフトウェアのコードは約1万5000行からなり、その開発には1万人時（マンアワー）を要したと推定された。これまでに発見されたどのウイルスと比較しても、「莫大な量のコードでした」とO Murchuは言う。

そのコードが非常に高度だったことも衝撃を与えた。Stuxnetは、社会的信用のある企業から盗んだ2つのデジタル証明書を利用していたうえに、4種類の「ゼロデイ脆弱性」、すなわち、それまで知られていなかったウィンドウズのセキュリティーホールを狙って攻撃をしかけていたのだ。

そして、ウイルスの活動だ。「非常に風変わりな動きであることは、すぐにわかりました」と、O Murchuは回想する。Stuxnetの活動で特に変わっていたのは、産業機械に指示を出すのに用いられるPLC（プログラミング可能なシーケンス制御装置）に話しかけようとしていたことだった。ここで、Stuxnetは非常に選択的だった。つまり、このウイルスは、ウィンドウズを走らせているコンピューターならほとんど何にでも感染できるはずなのに、シーメンス社のStep7というソフトも走らせているコンピューターでしか、実行可能コードがアクティブにならなかったのだ。Step7は、産業プロセスの管理に用いられる各種のSCADA（監視制御データ収集）システムの1つである。

多くの産業制御システムは、マルウェアや乗っ取りから保護するため、絶対にインターネットに接続されない。その壁を乗り越えるために、Stuxnetには巧妙な工夫が施されていた。ほかのマルウェアの多くがそうであるように、Stuxnetはネットワーク上を広がることができたが、USBドライブに自分自身をひそかにインストールすることもできるようになっていたのだ。そのため、何も知らないオペレーターが、ウイルスに感染したUSBメモリーを制御システムのコンピューターに差し込むだけで、ウイルスは爆発的に活動を開始することができたのだ。

動機は不明だが、標的はイランだった

Stuxnetがシーメンス社のソフトウェアに何をするかは、まだ不明だった。シマンテック社のチームがその手がかりをつかんだのは、Stuxnetが、感染したホストコンピューターに関する情報を集めて、マレーシアとデンマークのサーバーにデータを送信していることを理解したときだった。これはおそらく、未知の犯人がひそかにStuxnetウイルスを更新できるようにするためだった。

シマンテック社は、コマンドと制御サーバーを特定することはできたが、犯人を特定することはできなかった。しかし、インターネットサービスプロバイダーを説得して犯人のアクセスを遮断し、感染したコンピューターからのトラフィックの経路を変えてシマンテック社に向かわせて、盗聴できるようにした。O Murchuによると、サーバーへのトラフィックがどこから来ているかを観察することで、「感染のほとんどがイランで起きていたことがわかりました」と言う。イランでのウイルス感染は、じつに全体の60%以上を占めていて、2009年から波状的に発生していたようだった。

ここから推測できるのは、何らかの理由により、このウイルスがイランを狙っていたということだ。しかし、シマンテック社の研究者たちは、単独ではこれより先に進むことはできなかった。多くのマルウェア対策チームがそうであるように、彼らもまた、コンピューターとネットワーキングについては非常によく知っていたが、PLCやSCADAシステムに関する専門知識はほとんどなかったからである。制御システムセキュリティーコンサルティング会社であるRalph Langner社（ドイツ・ハンブルク）は、「分析がある程度進むと、彼らは、Stuxnetの目標がさっぱりわからなくなってしまいました。彼らの研究室環境では、このウイルスの実験をすることができなかったからです」と言う。

Langnerは、独自にその隙間を埋めることを試みた。彼とそのチームは、夏の間、シーメンス社のソフトウェアと産業制御システムを備えた研究室環境でStuxnetを走らせ、ウイルスがどのようにしてPLCと相互作用するかを調べた。「たちまち、非常に奇妙でおもしろい結果が出始めました。我々の研究室で実験を始めた最初の日のうちにね」と彼は言う。

その結果を見たLangnerは、Stuxnetは特定のソフトウェアやハードウェアを探し出して、攻撃するように作られていると推測した。そして、2010年9月中旬に、Stuxnetがイランを狙って作られたのではないかという疑いが裏付けられたと自分のブログで発表した。彼は当時、Stuxnetが狙っていたのはイラン南部ブシェールの原子力発電所である可能性が高いと考えていた。

遠心分離器を破壊したのか？

Langnerの主張は憶測の域を出るものではないが、マスコミはすばやく飛びつき、「標的限定型サイバー兵器」という言葉を広めた。しかし、Langnerらはその後もコードに取り組み続け、数か月後には、標的はブシェールの原子力発電所ではなく、ナタンツのウラン濃縮施設である可能性が高くなった。ナタンツでは数千台の遠心分離機が、核分裂を起こさない重いウラン238から、量は少ないが核分裂を起こすウラン235を分離している。この濃縮施設は、表向きは原子力発電所に燃料を供給するためのものとされているが、欧米諸国の多くは、本当の目的は核兵器の製造にあると考えている。Langnerらによると、そのマルウェアのコードは、遠心分離機の回転速度を変化させるためのものであるという。遠心分離機はデリケートな装置なので、そんなことになったら制御不能に陥り、破損してしまう。

国際原子力機関（IAEA；オーストリア・ウィーン）は、イランで稼働している遠心分離機の台数が2009年に激減したという報告を行い、Langnerの解釈の信憑性を高めた。Stuxnetが最初にイランのコンピューターに侵入したのはこの年だったと、多くの専門家が考えているからである。

もちろんこれは直接的な証拠にはならない。米国科学者連盟（FAS；ワシントンD.C.）とともにイランの遠心分離機の性能を調べていたブルガリア人物理学者Ivanka Barszashkaは、機械が稼働していないときは、「それらが何をしていたのか、知ることはできません」と言う。「遠心分離機が本当に破壊されたのか、それとも、ただそこに置かれていただけなのか、私たちにはわからないのです」。

イラン政府は、Stuxnetの感染が国内の広い範囲で起きたことは公式に認めたものの、そのせいでナタンツの多数の遠心分離機が破壊されたことは否定した。また、2010年の末にIAEAが発表した調査報告書からは、イランの核計画がどんな妨害を受けたにせよ、せいぜい一時的に勢いをそがれただけであったことが明らかになった。イランのウラン濃縮能力は、これまで以上に高くなっているのだ。

真犯人は米国政府！？

しかし、Stuxnetの標的が本当にナタンツであったとしたら、誰が、何のためにこのウイルスを作成したのかという謎に対して、1つの答えが見えてくる。Stuxnetを分析した人々は、マルウェアと産業セキュリティーの専門知識や、標的となった産業機器の種類と構成など、このウイルスの作成に必要とされる知識のことを考えれば、犯人の背後にはどこかの国の政府がいるはずだと、早い段階から結論付けていた。

ハーバード大学ベルファー科学国際問題研究所（米国マサチューセッツ州ケンブリッジ）の上級フェローで、IAEAの前事務次長であるOlli Heinonenは、ある国の政府が他国の核開発計画を妨害しようとした例はこれまでにもあったと指摘する。例えば、欧米諸国の政府は、1980年代から1990年代にかけて、パキスタンがイランや北朝鮮に核技術を供与するために利用していた密売ネットワークに、欠陥部品を紛れ込ませる活動を組織していた。米国のCIAを含む各国諜報機関も、核兵器開発をめざす国々に、間違いを忍び込ませた設計図を売りつけようとしたことがある。「同じことを別の方法でしようとしたのがStuxnetなのです」とHeinonenは言う。

Langnerは、Stuxnetの背後には米国政府がいると主張する。米国政府には、サイバー戦争に必要とされる専門知識と、イランの核開発を阻止するという積年の目標の両方があるからだ。Langnerや、シマンテック社や、その他の研究者が、Stuxnetに関する意見と情報を盛んに交換していた2010年夏、サイバー攻撃への対応に特化したコンピューター緊急対応チーム（CERT）を持つ米国国土安全保障省は、不可解な沈黙を守っていた。

米国アイダホフォールズのはずれに位置するアイダホ国立研究所内にあるCERTは、産業制御システムの試験を行うための世界最高レベルのテストベッドを備え、Stuxnetに関しても一連の警報を発してきた。けれども、CERTによる最初の警報は、ベラルーシで最初の警報が発せられてから1か月以上も経過した2010年7月20日のことで、しかも新しい情報は何一つ含まれていなかった。その後の警報も、同じパターンで発せられた。つまり「少なすぎ、遅すぎた」のだ。SCADAシステムのセキュリティー会社Digital Bond社（米国フロリダ州サンライズ）の設立者であるDale Petersonは、自分のブログ上でCERTのこの対応を「何日も遅れる切り抜きサービス」と評した。

「彼らがこの問題を見落としたとも、あるいは、すべてを誤解していたとも、考えることはできません。そんなことはありえません」とLangnerは言う。彼は、アイダホ国立研究所の気の抜けた対応は意図的なものであり、その目的は、Stuxnetがそこで作成されたという事実を隠蔽することにある、と指摘する。

もちろんLangner自身も、米国の犯行を疑わせるこうした事実は、状況証拠にしかならないことを認めている（米国政府は、秘密諜報活動に関する慣習にのっとり、その主張を認めることも否定することもしないだろう）。米国とともに容疑がかかっているイスラエルの犯行を裏付けているとされる証拠は、さらに間接的である。例えば、シマンテック社に言わせると、Stuxnetのコードに埋め込まれているMyrtus（ミルトス）という名前が、その証拠であるという。旧約聖書の『エステル記』でユダヤ人虐殺計画を阻止したペルシャ王妃エステルは、ヘブライ語名をハダッサーといい、「ハダッサー」も「ミルトス」も、ギンバイカという植物をさしているのだそうだ。Stuxnetを分析したほかの人々は、彼らの主張はあまりにも根拠が希薄だと言っている。サイバーセキュリティーコンサルティング会社Taia Global社（米国バージニア州タイソンズコーナー）の設立者にして最高責任者であるJeffrey Carrは、イスラエルの関与を裏付ける「事実はない」と言い切る。

パンドラの箱が開いた時代に、どうする？

「いったい誰が？」という謎に対する答えは、もう明らかにならないかもしれない。2011年2月にシマンテック社がStuxnetに関する権威ある報告書の最終アップデートを行ったことで、このウイルスの集中的な研究は事実上終結した。報告書には、Stuxnetの実行に関する重要な詳細や、攻撃と感染の時間経過がまとめられている。この時点で、マイクロソフト社はStuxnetに狙われたセキュリティーホールをとっくに修正していたし、すべてのウイルス対策ソフト会社は、顧客のデジタル免疫系を更新してStuxnetをただちに認識して隔離できるようにしていた。現在では、新規の感染はめったにない。しかし、完全になくなったわけではない。シーメンス社の制御システムを利用するすべてのコンピューターにセキュリティーホールをふさぐためのプログラム（パッチ）が行きわたるまでには、あと数年はかかるだろう。

Stuxnet自体が深刻な脅威ではなくなった今でも、サイバーセキュリティーの専門家は、それが浮き彫りにした、より大きな脆弱性について心配している。Stuxnetを調べた研究者の多くが、今回のサイバー攻撃は、未来のサイバーテロリストにヒントを与え、おそらくそれを改良するための青写真を示してしまったと考えている。犯人は米国だったと考えるLangnerは、「ある意味では、この攻撃に踏み切った者は、パンドラの箱を開けてしまったと思います」と言う。「その影響は、最終的には、彼ら自身にはね返っていくかもしれません」。

サイバーセキュリティーの専門家は、準備が十分にできていない。理由の1つに、産業制御システムの専門家との接点がないことが挙げられる。Tofino Industrial Security社 （カナダ・ランツビル）の共同創設者にして最高技術責任者であるEric Byresは、「我々は2つの全く異なる世界に住んでいて、十分なコミュニケーションをとってきませんでした」と言う。彼は、その溝に橋をかけたシマンテック社やLangnerらを称賛する。しかし、両者を結びつけるために要した努力が、Stuxnetの分析を大幅に遅らせたのも事実である。

もともと大学の研究者だったByresによると、この溝は、大学のコンピューターサイエンス学科にも影響を及ぼしているという。大学の研究者は、産業制御システムのセキュリティーは技術的な問題にすぎず、科学的に重要な問題ではないと考える傾向がある。そのため、大学院生が暗号技術や産業制御に興味があると申し出ても、そのテーマは数学的に難しくないから博士論文にはならないだろう、と言われてしまうのだ。

Waterfall Security Solutions社（イスラエル・テルアビブ）の北米部門の産業セキュリティー部長であるAndrew Ginterも、「大学の研究者で、Stuxnetを調べるにあたって大きな寄与をした人はいなかったように思います」と言う。そうした仕事をする研究者のほとんどが産業界か政府の下で働いている。アイダホ国立研究所のチームはその1つで、Sophiaという次世代システムに取り組んでいる。Sophiaは、ネットワーク中の異常を検知することにより、Stuxnetのような脅威から産業制御システムを保護しようとするものである。

サイバーセキュリティーを研究する大学研究者にとっては、マルウェアを入手することが、障壁の1つとなっている。Stuxnetの場合、最初に発見された直後に、そのコードがウェブに投稿されたため、あまり問題にはならなかった。けれども一般には、シマンテック社などの企業が安全のためにマルウェアを特殊な研究室に閉じ込めてしまうことが多く、マルウェアを調べたがっている研究者にとっては、障壁になっている可能性がある。

ジョージ・メイソン大学（米国バージニア州フェアファックス）の安全情報システムセンターの主任科学者であり、米国国防高等研究計画局(DARPA)のプログラムマネージャーを務めたこともあるAnup Ghoshは、「生物学的なウイルスの場合、研究用のウイルスを持っているグループの数は少なく、ほかの研究者にウイルスを分け与えるのを渋ります。同じことがマルウェアについても言えるのです」と指摘する。「この分野を発展させるためには、研究者がよいデータを入手できるようにしなければなりません」。Ghoshは現在、ウイルスのコードに見られる特異的なパターン（「署名」）ではなく、ウイルスの挙動に基づいてこれを特定するマルウェア検出システムの開発に取り組んでいる。

米国科学研究協議会（NRC；ワシントンD.C.）のコンピューターサイエンス・遠距離通信委員会の主任科学者であるHerb Linによると、大学の研究者は、デジタル兵器に対するある種の潔癖症にも足を引っ張られているという。彼は、サイバー攻撃から身を守る方法を理解するには、サイバー攻撃の方法を知ることが役に立つと指摘する。しかし、マルウェアの書き方を大学院生に教えることをめぐっては「激しい論争」が起きているという。「『ハッカーを教育・訓練するのか？』と言われてしまうのです」。

次の攻撃に備える

国防を含めた科学技術の問題に関して米国政府に助言しているJASONグループは、去年、サイバーセキュリティーに関する研究を行い、多くの問題点を見いだした（JASON Science of Cyber-Security; MITRE Corporation, 2010）。おそらく最も重要だったのは、サイバーセキュリティー科学という研究分野が「実験結果の報告においても、それを利用する能力においても未発達である」という結論だ。

カーネギー・メロン大学（米国ペンシルベニア州ピッツバーグ）のコンピューター科学者で、JASONに情報を提供したRoy Maxionは、サイバーセキュリティーは科学的な厳密性を欠いているとまで言う。医師たちは、200年前にはヒルに患者の血液を吸い出させる治療法を推奨していたが、その後の「根拠に基づく医学（EBM）」の出現により、近代的な科学者へと生まれ変わった。「コンピューターサイエンス、特にコンピューターセキュリティーにおいては、そのような変化の兆しが全く見えてこないのです」。

コンピューターサイエンスは、Maxionが言うところの「小手先のトリック」の寄せ集めとして発達してきた。例えば、ある会議で最初に発表された論文は、コンピュータースクリーンが窓などに映ったものから、そこに表示されている内容を読みとる方法を示すものだった。「実際に秘密会議に出席したことのある人間から見れば、話にならない論文です」と彼は言う。「コンピュータースクリーンに表示されている内容を第三者に知られたくないなら、窓がない場所で見るのは当たり前です。こんな論文が、その年、大きな話題になったのです」。

現在、コンピューターサイエンスやコンピューターセキュリティーのカリキュラムに、実験計画や統計学などの伝統的な研究手法の課程は入っていない。Maxionは、こうした課程を緊急に取り入れる必要があると見る。「なぜ、それが問題になるかといえば、Stuxnetのような現象を調べたり、こうした脅威への適切な対処法を検討したりするのに必要な科学的基礎を、我々が持っていないからなのです」。

Stuxnetを分析した人々の多くは、米国政府の対応の鈍さにも不安を感じた（もちろんこれは、米国政府が犯人でなかったと仮定した場合の話である）。Stuxnetは新しい世代のサイバー兵器を代表するものであり、米国が標的になる可能性もあったはずだ。それなのに、米国政府が、大学、研究所、民間企業から資源を持ち寄って協調的に対応する計画を立てるなどして、そうした攻撃に備えていることを示す証拠は見当たらないのだ。

ほかの国々は、米国よりは真摯に対応しているようである。例えば、中国の大学と専門学校の一部は、サイバーセキュリティーに取り組むために、軍との間に強固な関係を築いたと伝えられている。イスラエルも、コンピューティングの専門知識を国家安全保障に役立てているようである。

Stuxnetが発見されるほんの数か月前、ネゲブ・ベングリオン大学ドイツテレコム研究所（イスラエル・ベエルシェバ）の所長であるコンピューター科学者のYuval Eloviciは、Natureに、サイバーセキュリティーの分野でイスラエル国防省と密接に協力し合っていることを明かした。彼はそのとき、次にくるサイバー攻撃は物理的なインフラを標的にするだろうと警告していた。「SCADAシステムへのコード・インジェクション（プログラムが受け取る入力データにセキュリティーを侵害するようなコマンドを混入し、コンピューターの内部で機能させること）があったら、どうなるのでしょうか？　誰かが突然それを活動させたら、どうなるのでしょうか？」と彼は言った。Eloviciは、ほかの専門家とともに、送電網を制御するSCADAシステムへのそうした攻撃が全国的な停電を引き起こしたり、発電所の安全システムを乗っ取って機能を停止させたり、大事故を引き起こしたりするおそれがある、と数年前から警告してきた。上下水道施設や食品加工工場も、同様の攻撃を受ける可能性がある。

そのような攻撃は現実的なものであり、過小評価されていると、Eloviciは警告する。どのくらい悪い状況になるのかという質問に対して、彼の答えは明確だった。「主要都市に数発の原子爆弾を投下するより、はるかに甚大な影響が出るでしょう」。

翻訳：三枝小夜子