Kaspersky Labは現地時間6月15日、イラン核協議の情報収集に利用されたと推測するスパイウェア「Duqu 2.0」について、「iPhone」などの委託製造を請け負うFoxconnにも被害が及んでいたことをブログで報告した。デジタル証明書情報を不正に取得し、悪意あるドライバをFoxconnの認定ソフトウェアと見せかけていたようだ。
Kaspersky Labは6月11日に「Duqu 2.0」に関する詳細なレポードを発表。イラン核開発計画をめぐって同国が6カ国との交渉を行う会場となったホテルのハッキングに使われたとした。Kaspersky自身も被害にあったことから調査を進めた結果わかったという。同社はその複雑さや高度さから国の関与の可能性が高いとしており、Wall Street Journalなどはイスラエルを示唆している。
Kaspersky Labによると、Duqu 2.0は通常とは異なる“永続的な”メカニズムを持ち、通常のシステムサービスとしてインストールされる悪意あるドライバが重要な役割を果たすという。64ビット版Windowsではドライバに有効なデジタル署名を義務付けているが、Duqu 2.0で使われている悪意あるドライバは“HON HAI PRECISION INDUSTRY CO. LTD.”のデジタル署名がついていたという。
Kasperskyはベンダーが感染したという確認は得ていないとしながらも、「リサーチからDuquを利用する攻撃者はFoxconn、Realtek、Jmicronなどのハードウェアメーカーに関心を持っていることがうかがえる」としている。また、これら証明書情報にアクセスできるのはDuqu攻撃者のみであり、情報を得るためにハードウェアメーカーをハッキングしたという推測を強めている。
さらには、Duqu攻撃者は同じデジタル署名の使い回しをしていないことから、Foxconn以外のメーカーからも証明書情報を不正取得している可能性があるとしている。「これはデジタル証明書の信頼性を損なうもので、大きな問題だ」としている。
