編集部からのお知らせ
新着記事まとめは「AIトレンド」
推奨:「NTT再編」関連の記事まとめPDF

マルウェアの「Stuxnet」と「Flame」、開発初期段階でやり取り示す証拠

田中好伸 (編集部)

2012-08-02 12:48

 Kaspersky Labsは8月2日、マルウェアの「Stuxnet」と「Flame」の開発者の関係性を立証できたと発表した。少なくとも開発の初期段階は、Stuxnetの開発チームがFlameの開発に関与していたという。

 「初のサイバー兵器」(Kaspersky Labs)というStuxnetは産業施設を狙ったマルウェア。世界中の一般ユーザーのPCに感染し、2010年6月に検知された。同社によれば、最も初期のバージョンは、その1年前に作成されているという。Stuxnetに似た「Duqu」という名称で知られるマルウェアは2011年9月に発見されている。Duquはトロイの木馬であり、その役割は感染したシステム上でバックドアとして働き、個人情報を盗み出すことだ。

 Duquを分析していくと、Stuxnetとの類似性が明らかになっている。どちらも「Tildedプラットフォーム」と呼ばれる同一の攻撃用プラットフォームを使用して作成されている。この名称は、マルウェアの開発者がファイル名に「~d*.*」という形式を好んで採用したことに由来しているという。

 国際電気通信連合(ITU)はKaspersky Labsに調査を依頼。同社は、この5月に「Flame」を発見している。Flameは中東諸国を狙ったマルウェアと見られている。当初、StuxnetやDuquとはまったく異なるものと見られていた。プログラムのサイズやプログラム言語が異なること、多機能であることから、FlameはStuxnetやDuquの作者とは関係ないとされていた。

 2009年6月に作成されたと見られるStuxnetの最初のバージョンには、「Resource 207」というモジュールが組み込まれていた。その後の2010年版では、このモジュールは完全に削除されている。Resource 207は暗号化されたDLLファイルであり、「atmpsvcn.ocx」という名前を持つ35万1768バイトの実行ファイルが含まれている。

 Kaspersky Labsは分析の中で、このファイルとFlame内のコードとの間に多くの共通点を確認している。相互排他オブジェクトの名前、データストリングの復号化に使用するアルゴリズムなど、多くの類似性があるという。

 StuxnetとFlame、それぞれのモジュール内のコードのほとんどのセクションが同一か、あるいは類似しており、FlameとDuqu/Stuxnetのチーム間のやり取りは、バイナリコードではなくソースコードの形式で行われていたと結論付けられると説明している。

 Resource 207の主な機能は、リムーバブルUSBドライブを介して、Windowsカーネルの脆弱性を利用してシステム上で権限昇格を行い、あるマシンから別のマシンへの感染を広げることだ。USBドライブを使用してマルウェアを拡散するためのコードは、Flameで使用されていたものと完全に一致しているとKaspersky Labsは説明している。

 同社のチーフセキュリティエキスパートのAlexander Gostev氏は、「FlameとTildedは複数のサイバー兵器の開発に使用された、まったく別のプラットフォームであると確信している。両者は異なるアーキテクチャを持ち、システムに感染して本来の目的を果たすために独自の手法を用いている。それぞれが独立したプロジェクトとして成り立っている」と説明する。

 だが、Gostev氏は「開発の初期段階に少なくとも1つのモジュールのソースコードが共通で使用されていたことが判明した。双方の開発チームが協力関係にあったことが証明される。今回の発見は、FlameとDuqu/Stuxnetの関係を裏付ける強力な証拠と言える」とコメントしている。

 StuxnetとFlameは米国とイスラエルの政府機関が共同で開発したと報道されている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. コミュニケーション

    日本企業が利用する代表的なグループウェアを徹底比較―グループウェア選定のポイントとは?

  2. セキュリティ

    なぜランサムウェアはこれほどまでに対策が難しいのか?その理由と有効な対策アプローチを考える

  3. セキュリティ

    改正個人情報保護法や最新の脅威動向などに対応するためのセキュリティ戦略のポイントとは

  4. セキュリティ

    Azure Sentinelで実現するサイバーハイジーン

  5. ビジネスアプリケーション

    ETLツールでデータを統合し活用するための3要素、「民主化」への最適解

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]