Kaspersky Lab のエキスパートが Flame の C&C インフラを徹底分析

本リリースは2012 年 6 月 4 日にロシア モスクワにて発表されたニュースリリースの抄訳です。

2012 年 5 月 28 日、Kaspersky Lab は「Flame*1」の名で知られる極めて高度なマルウェアを発見したことを発表しました*2。このマルウェアは、複数の国の組織を標的とした攻撃においてサイバー兵器として盛んに利用されました。Flame は、国際電気通信連合*3（ITU）主導の調査の際に Kaspersky Lab のマルウェア専門家により発見されました。この調査の結果、このマルウェアは、これまで発見された中でも最もサイズが大きく、複雑なツールキットであることが明らかになっています。

*1http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

*2http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Research_Reveals_New_Advanced_Cyber_Threat

*3http://www.itu.int/en/Pages/default.aspx

Kaspersky Lab の分析により、このマルウェアがサイバースパイ活動に利用されており、コンピューターに感染してデータや機密情報の詐取を行うことが判明しました。また、詐取したデータは Flame のいずれかの C&C サーバーに送信されていました。

Kaspersky Lab は Flame の C&C インフラを注意深く監視し、下記の通り本日その詳細な調査結果を発表しました。

http://www.viruslistjp.com/analysis/?pubid=208193540

GoDaddy 社と OpenDNS 社の協力を得て、Kaspersky Lab は Flame の C&C インフラに利用された悪質なドメインのほとんどをDNSシンクホールに振り向けることに成功しました。以下はその分析結果の概要です。

• 数年にわたって稼動していた Flame の C&C インフラは、先週 Kaspersky Lab がこのマルウェアの存在を開示した直後からオフラインになっている。
• 現在までに 80 以上のドメインが Flame の C&C サーバーおよび関連ドメインとして使用されていたことがわかっている。これらのドメインは 2008 年から 2012 年の間に登録されたものである。
• 過去 4 年の間、Flame の C&C インフラをホストするサーバーは、香港、トルコ、ドイツ、ポーランド、マレーシア、ラトビア、英国、スイスと場所を変えて展開されていた。
• Flame の C&C ドメインは、2008 以来、さまざまに身元を偽って、数多くのレジストラを通して登録を行っていた。
• Kaspersky Lab のDNSシンクホールを使用した調査では、中東、欧州、北米、アジア太平洋など複数の地域で感染が確認された。
• Flame を使用する攻撃者は、PDF、Office、AutoCadの図面に高い関心を示している。
• Flame の C&C サーバーにアップロードされたデータは、比較的シンプルなアルゴリズムで暗号化される。盗み出したドキュメントはオープンソースの Zlib および PPMd の一種を使用して圧縮される。
• 別のマルウェアの感染防止に我々が推奨してきた Windows 7 の 64 ビット版は、Flame に対しても効果があるようだ。

William MacArthur 氏ならびに Go Daddy の Network Abuse 部門には、この調査に際して迅速なご対応と甚大なご支援をいただいたこと、厚くお礼申し上げます。また、OpenDNS のセキュリティ調査チームにも大変有益なご支援をいただきました。

Kaspersky Lab は先日、複数の国の CERT（コンピューター緊急対応チーム）に連絡し、Flame の C&C ドメイン情報と、悪質なサーバーの IP アドレスを通知しました。各CERTには、本調査へのご協力に対し、心より感謝申し上げます。

政府系 CERT の関係者の方が本記事をご覧になり、C&C ドメインの情報を希望される場合は、「theflame@kaspersky.com」から弊社にご連絡ください。

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については http://www.kaspersky.co.jp/ をご覧ください。

*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2010（エンドポイントセキュリティ世界市場ベンダー別　– 2010年）で4位にランクされました。このランキングは、2011年12月に出版されたIDCレポート“Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares”（世界におけるITセキュリティ製品市場：2011年～2015年の予測と2010年のベンダーシェア）に掲載されました。このレポートは、2010年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する（ランキングする）ものです。