ＩＴセキュリティの専門家に「スタックスネット」について語ってもらうのは、芸術評論家にモナリザの魅力を解説してもらうようなもの。サイバー安全保障のプロたちは、この新種のコンピュータウイルスに畏敬の念を抱いている。

　６月に発見されて以降、世界中に感染が拡大しているスタックスネットは、かつて見たことがないほど洗練されたコンピューターウイルスだ。世界中の専門家が必死で暗号の解読に挑んでいるが、このウイルスが作成された真の目的は今もわかっていない。非常に巧妙に作り込まれているため、アメリカかイスラエルがイランの核開発プログラムを阻止するために作成した「サイバー兵器」ではないかと考える専門家も多い。

　スタックスネットを「兵器」と見なすべきなのは、発電所やパイプライン、通信インフラ、空港や船舶といった産業用システムに潜入し、密かにプログラムを改ざんできる初のコンピュータウイルスだから。イランの原子力発電所も攻撃を受けた。複数の従業員のパソコンが感染したという。ドイツの多国籍企業シーメンスが開発したソフトウエアを使用している少なくとも14カ所の工場でも感染が確認されている。

　専門家によれば、スタックスネットの作成には数カ月から数年を要し、産業用システムに詳しい人物が多数関与した可能性が高い。標的に到達するために、ハッカーはしばしば、ウインドウズなどに潜むセキュリティー上の「穴」を探すが、スタックスネットの優秀な作成者が見つけたバグは一つだけではなかった。
インターネットから隔離してもだめ

　スタックスネットは、これまで知られていなかったセキュリティー上の４つのバグを利用してウインドウズマシンに潜入する。台湾のコンピュータ企業２社から盗んだ暗号化の証明書を使い、ウイルスに「署名」することも可能。おかげで、スタックスネットは合法的なウインドウズ用ソフトになりすますことができる。

　ただし、作成者らの優秀な頭脳以上に興味深いのは、人間がここまで愚かだと彼らが気がついた点だ。産業用システムはサイバー攻撃を避けるため、ウイルスが自在に入り込めるインターネットなどの危険なネットワークから物理的に切り離されていることが多く、従業員の協力がなければシステム内部に潜入できない。

　スタックスネットの開発者は、万全のセキュリティー対策を誇るシステムにウイルスを侵入させて、効率よく感染を広げるための完璧な「運び屋」を見つけた。一見、何の害もなさそうなＵＳＢメモリだ。

　過去数年の大規模なサイバー攻撃でも大抵の場合、ＵＳＢメモリが使われていた。昨年、世界中で莫大な数のコンピュータに感染したワーム型ウイルス「コンフィッカー」は、ＵＳＢメモリを介してフランス海軍や英マンチェスター市当局などに被害をもたらした（マンチェスター市は一時的に駐車違反の切符を発券できなくなった）。

　今年８月にはウィリアム・リン米国防副長官が、米軍が２年前に「エージェント・ＢＴＺ」と呼ばれるウイルスの攻撃を受けたことを明かした。「感染したＵＳＢメモリが、中東の米軍基地で軍のノート型パソコンに挿入された」のが引き金だっだという。

　２００８年には、スペインの格安航空会社スパンエアの中央コンピュータシステムが、ＵＳＢメモリを介して侵入したウイルスに攻撃された。そのせいで航空機の不具合をモニタリングするコンピュータの速度が遅くなり、スペイン史上最悪の飛行機事故（マドリードの空港で航空機が炎上し、１５３人が死亡）の一因となったとされる。

page: 2
iPodやデジカメの接続も危ない

　ＵＳＢメモリがサイバー攻撃の格好の運び屋なのは、それがデジタル世界の蚊のような存在だから。小型で携帯に便利でそこにあっても気づかないくらいありふれている。私のデスクの上にも10個以上あるが、どこから持ってきたかわからないものもある。しかもスタックスネットの場合、感染に必要なのはＵＳＢメモリをパソコンに差し込むことだけ。「誰もがやるような最小限の動作だから、簡単に被害が拡大する」と、研究者ショーン・サリバンは言う。

　もちろん、感染を食い止める方法はある。わざわざインターネットから隔離してあるコンピュータではＵＳＢメモリの使用を禁止すればいいのだ。

　とはいえ、「現実には世界は今も本気でセキュリティー対策に当たろうとはしていない」と、セキュリティー企業ソフォスの研究者、チェスター・ウィズヌースキは言う。企業はその手の方針を示していないか、ＵＳＢメモリの便利さを享受している従業員に指図をしようとしない。パワーポイントのプレゼンテーション資料を同僚に渡したいとき、ＵＳＢメモリにデータを入れる以上に簡単な方法なんてないのだ。

　企業のセキュリティを強化するには、ＵＳＢメモリの使用を全面的に禁止するだけでは不十分だ。念のため、iPodやカメラ、その他ＵＳＢメモリを使えるあらゆる機器も、ウイルスの運び屋になりかねないので使用禁止にしなければならない。

　私はＦ－セキュアのサリバンに、スタックスネットの感染を防げるような安全対策はあるかと尋ねてみた。「私たちは実験用コンピュータのＵＳＢ端子に糊を塗っているよ」と、彼はジョークを飛ばした。

　ソフォスのウィズヌースキは、唯一の希望は教育にあると指摘する。ＵＳＢメモリを他人と交換しない、誰のものかわらないもＵＳＢメモリを自分のパソコンに差し込まない、路上でＵＳＢメモリーを見つけても、拾って自分のパソコンで中身を確認してはいけない──。

「ただし、この戦いに勝てるかどうかはわからない」と、ウィズヌースキは言う。「もし私がセキュリティ業界に無縁の一般人だったなら、ＵＳＢメモリを見つけたらすぐに端子に差し込みたくなる。それが人間ってものだ」