カスペルスキーが報告したスパイウェア「Duqu 2.0」、Foxconnにも侵入か

ZDNET Japan Staff

2015-06-16 13:11

 Kaspersky Labは現地時間6月15日、イラン核協議の情報収集に利用されたと推測するスパイウェア「Duqu 2.0」について、「iPhone」などの委託製造を請け負うFoxconnにも被害が及んでいたことをブログで報告した。デジタル証明書情報を不正に取得し、悪意あるドライバをFoxconnの認定ソフトウェアと見せかけていたようだ。

 Kaspersky Labは6月11日に「Duqu 2.0」に関する詳細なレポードを発表。イラン核開発計画をめぐって同国が6カ国との交渉を行う会場となったホテルのハッキングに使われたとした。Kaspersky自身も被害にあったことから調査を進めた結果わかったという。同社はその複雑さや高度さから国の関与の可能性が高いとしており、Wall Street Journalなどはイスラエルを示唆している。

 Kaspersky Labによると、Duqu 2.0は通常とは異なる“永続的な”メカニズムを持ち、通常のシステムサービスとしてインストールされる悪意あるドライバが重要な役割を果たすという。64ビット版Windowsではドライバに有効なデジタル署名を義務付けているが、Duqu 2.0で使われている悪意あるドライバは“HON HAI PRECISION INDUSTRY CO. LTD.”のデジタル署名がついていたという。

 Kasperskyはベンダーが感染したという確認は得ていないとしながらも、「リサーチからDuquを利用する攻撃者はFoxconn、Realtek、Jmicronなどのハードウェアメーカーに関心を持っていることがうかがえる」としている。また、これら証明書情報にアクセスできるのはDuqu攻撃者のみであり、情報を得るためにハードウェアメーカーをハッキングしたという推測を強めている。

 さらには、Duqu攻撃者は同じデジタル署名の使い回しをしていないことから、Foxconn以外のメーカーからも証明書情報を不正取得している可能性があるとしている。「これはデジタル証明書の信頼性を損なうもので、大きな問題だ」としている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]