Kaspersky Lab は、サイバースパイ活動の際にデータを詐取し、感染システムを制御するよう設計された、小型で高度な柔軟性を持つマルウェア「miniFlame」を発見したことを発表しました。
本リリースは、2012 年 10 月 15 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab は、サイバースパイ活動の際にデータを詐取し、感染システムを制御するよう設計された、小型で高度な柔軟性を持つマルウェア「miniFlame」を発見したことを発表しました。
SPE という別名を持つ MiniFlame は、Kaspersky Lab のエキスパートによって2012 年 7 月に発見され、当初は Flame の 1 モジュールであると考えられていました。しかし、2012 年 9 月に Kaspersky Lab の研究チームが Flame の C&C サーバーの詳細分析を行った際に、miniFlame モジュールは、独立した悪性プログラムとして、あるいは Flame と Gauss の両方に使用できるプラグインとして相互利用可能なツールであることが明らかになりました。
miniFlame を分析すると、2010 年から 2011 年の間に作成された数種類のバージョンが存在し、その一部は現在も活動中であることがわかりました。また、FlameとGauss両方のマルウェアは miniFlame を「プラグイン」としてマルウェア活動に利用する機能を持つことから、双方のマルウェア作者との協力体制があったことも新たに判明しています。
主な分析結果:
- SPE という別名を持つ miniFlame は、Flame と同じアーキテクチャプラットフォーム上に構築され、独立したサイバースパイプログラムとして、あるいは Flame や Gauss の内部コンポーネントとして機能することができる。
- このサイバースパイツールは、バックドアとして機能し、データの詐取と感染システムへの直接アクセスを行う。
- miniFlame の開発は 2007 年には既に開始され、2011 年の末まで続いていた可能性がある。多くのバージョンが作成されていたようだ。Kaspersky Lab は現在までに 2つの主なバージョン4.x と 5.x を含む 6 つの変種を特定している。
- 大規模な感染をもたらした Flame や Gauss とは異なり、miniFlame の感染規模はかなり小さい。Kaspersky Lab のデータによると、感染マシンの数は 10~20 台程度で、世界中の感染件数を合計しても 50~60 件程度であると推定される。
- 感染件数が非常に少ないこと、また情報詐取機能があり、柔軟性が高いことから、このマルウェアは標的を厳選したサイバースパイ活動に使用され、おそらく Flame や Gauss にすでに感染したマシンの内部に配置されていたと考えられる。
発見
miniFlame は、マルウェア Flame と Gauss の詳細分析過程において発見されました。2012 年 7 月、Kaspersky Lab のエキスパートは、Gauss の新たなモジュール(コードネーム「John」)を特定し、Flame のコンフィギュレーションファイル内の同じモジュールへの参照を発見しています。その後の 2012 年 9 月に行われた 、
Flame の C&C サーバー
の分析結果からは、新しく発見されたモジュールは、Gauss と Flame 両方のプラグインとして使われる場合があるものの、実際には独立した悪性プログラムであることが判明しています。
Kaspersky Lab は miniFlame の 6 つの変種を発見しました。これらすべては 2010 年から 2011 年に作成されたものです。また、解析結果から、このマルウェアの開発は 2007 年にはすでに着手されていたこともわかってきました。Flame または Gauss のプラグインとして使用可能であるということは、miniFlame の作者とこれらのマルウェア開発チームとの協力関係があったことを示唆しており、これらの高度な脅威すべてが、同一の「サイバー兵器工場」で製造されたものであると結論づけることができます。
機能
miniFlame の感染源はまだ特定されていません。miniFlame、Flame、Gauss の関係が確認されたことから、miniFlame は Flame または Gauss に感染したマシン上にインストールされると推測することもできます。ひとたびインストールされると、miniFlame はバックドアとして機能し、攻撃者が感染マシンからあらゆるファイルを入手できるようにします。また、感染マシン上で、特定のプログラム、または Web ブラウザ、Microsoft Office、Adobe Reader、インスタントメッセンジャー、FTP クライアントなどの特定のアプリケーションを実行中に、スクリーンショットを撮る機能もあります。miniFlame は詐取したデータを C&C サーバー(miniFlame 専用または Flame と共有)に接続してアップロードします。また他のバージョンでは、miniFlame の C&C オペレーターからのリクエストにより、また別のデータ詐取用モジュールを感染マシンに送り込み、USB ドライブを感染させ、インターネットへの接続なしで感染マシンから収集したデータを格納する機能を持つものも存在します。
Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ(Alexander Gostev)は、次のようにコメントしています。「miniFlame は高精度の攻撃ツールです。サイバー攻撃の第 2 波で使用される標的型のサイバー兵器と言えるでしょう。まず第 1 波として、Flame または Gauss ができるだけ多くのマシンを感染させ、大量の情報を収集します。データを収集し、内容を確認したら、攻撃者の興味の対象となる感染マシンを特定します。そのあとで miniFlame をインストールして、さらに綿密な調査とサイバースパイ活動を実行させます。また、miniFlame の発見により、サイバー戦争において最も注目されているマルウェア、Stuxnet、Duqu、Flame、Gauss の作者たちが協力体制にあることも明るみに出ました。」
この調査に際し、CERT-Bund/BSI のご支援をいただきましたこと、御礼申し上げます。
miniFlame に関する詳細については、Securelist.com の次のブログ記事を参照してください。
http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。
*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2011(エンドポイントセキュリティ世界市場ベンダー別 – 2011年)で4位にランクされました。このランキングは、2012年7月に出版されたIDCレポート“Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares”(世界におけるITセキュリティ製品市場:2012年~2016年の予測と2011年のベンダーシェア)に掲載されました。このレポートは、2011年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する(ランキングする)ものです。
