開発に1万時間掛けて誰が得するのか？

このニュースがあながち嘘でもないかなァと思ってしまうのは、Stuxnetのコードはかなり複雑で、開発に1万時間ぐらいかかっていて、開発者は5〜6人ぐらいはいるのではないかと推測されているのです。（マイクロソフト Jeff Williams氏 PacSec2010「Stuxnetの板挟み」講演より - PacSec2010）
これだけコストを掛けて、工場などで生産工程や設備の監視に使われる単なるSCADAシステム（産業制御システムの一種）を狙って妨害するだけでは、割に合わない。つまり攻撃者は誰も儲からないのでは？と考えられます。しかし、こういった陰謀論であれば時間を掛けて開発する理由にも納得がいってしまいます。

盗まれた証明書

さらにStuxnetはルートキットの要素も持っていて、その動作の一環でWindowsにドライバをインストールしようとします。ドライバのインストール時には、正しい証明書で署名されていない限りは警告がでるのですが、Stuxnetは何と本物の証明書で署名されているのです。
その証明書は盗まれたもののようです。しかも、物理的に。
盗まれたのは半導体などを開発するJMicron社にあったPCで、このPCからは簡単にドライバに署名できるようになっていたとのこと。（マイクロソフト Jeff Williams氏 PacSec2010「Stuxnetの板挟み」講演より - PacSec2010）
それにしても証明書が盗まれると、後始末が大変そうですよね。無効化したとしたら正規のドライバにも影響を与えてしまうのではないでしょうか。そして、無効化されたとしてもXPならポップアップによる警告すらでないようですが。

数年後にはこのネタで映画か小説が出そうですね。もう既にありそうなベタなネタな気もしますが。