イランの核兵器実験妨害のため「実験が失敗している」と思い込ませるマルウェア「fast16」
核兵器実験シミュレーションを妨害することを目的として設計されたマルウェア「fast16」の設計意図が判明しました。シミュレーションのデータを改ざんし、実際には成功しているのに「失敗している」と見せかけるマルウェアだったようです。
fast16 | Mystery Shadow Brokers Reference Reveals High-Precision Software Sabotage 5 Years Before Stuxnet | SentinelOne
Experts Confirm the Fast16 Malware Was Sabotaging Nuclear Weapons Tests, Likely in Iran
https://www.zetter-zeroday.com/experts-confirm-the-fast16-malware-was-sabotaging-nuclear-weapons-tests-likely-in-iran/
Fast16: Pre-Stuxnet Sabotage Tool Was Built to Subvert Nuclear Weapons Simulations | SECURITY.COM
https://www.security.com/threat-intelligence/fast16-nuclear-sabotage
fast16は核実験用ソフトウェアを標的としたと考えられているマルウェアで、正規のデータを巧妙にすり替える動作をするものでした。具体的には、核爆発につながる連鎖反応が始まる「超臨界」の点にシミュレーションが近づくまで待ち、ウラン炉心内の圧力に関するデータを改ざんして、実際のデータとは反対に「圧力が超臨界に達するのに不十分である」とエンジニアに示していました。
このマルウェアに関連する文書から、マルウェアが実際に使われていた期間がイランの核兵器開発計画と重なっていたことがわかり、研究者らはfast16について「イランを妨害するためのマルウェアだった可能性が高い」と結論づけました。
セキュリティ研究者らによると、マルウェアが正しい値をわずか1〜5%下げただけでも、エンジニアたちは「超臨界状態を達成するのに十分な力が加えられていなかった」と誤解してしまうと考えられるそうです。2026年の今ではコンピューターの不具合や乗っ取りの可能性が考慮されますが、fast16が使われていたのは2005年頃であり、当時は「コンピュータは概ね信頼できるもの」と考えられていたため、こうした可能性は考慮されなかった可能性が高いといいます。
このマルウェアは長らくインターネット上で公開されていたものの、研究者の目にとまることはなかったそうです。
fast16が最初にインターネット上で確認されたのは2017年のこと。Shadow Brokersとして知られる謎のグループがアメリカ国家安全保障局(NSA)のツールを大量に盗んだ事件で言及されており、「NSAまたは同盟国によって作成された」ということが示唆されていました。同年、何者かがVirus Totalというサイトにコードのサンプルをアップロードしましたが、その後2年間誰にも気づかれずに放置されていました。Virus Totalはセキュリティ企業やサイバー攻撃の被害者が疑わしいファイルをアップロードするために使用するサイトで、複数のウイルス対策エンジンによってスキャンされ、悪意のあるファイルかどうかが確認されます。
2019年、セキュリティ企業SentinelOneの研究者がfast16を「発見」し、その後長年にわたり解読を試みたものの失敗。2026年になりAIを使って分析したところ、その設計意図が明らかになったといいます。
研究者らは「fast16がどのシミュレーションソフトウェアを標的にしているのか、またどのような実験を妨害しようとしているのかは分からなかったものの、核兵器の爆発シミュレーションに使用されているソフトウェアを妨害しようとしている可能性が最も高い」と推測しました。
なお、2010年頃には同様のマルウェア「Stuxnet」が発見されています。Stuxnetは遠心分離機内部の圧力を上昇させ、制御不能な回転を引き起こすと同時に、オペレーターに偽のデータを送りつけて「遠心分離機が正常に作動している」と錯覚させるものでした。
研究者らは「Stuxnetはこれまで目にした中で最も高度なマルウェアだが、fast16も別格だ。作り上げるのに必要な専門知識のレベル、実行に移すための人的労力は膨大なものであり、それが2005年に開発されたという事実は驚異的だ」と話しました。
