メインコンテンツにスキップする

Kaspersky Lab、厳選標的型のサイバースパイ活動用に開発された新種の悪性プログラム「miniFlame」を発見

2012年10月17日

Kaspersky Lab は、サイバースパイ活動の際にデータを詐取し、感染システムを制御するよう設計された、小型で高度な柔軟性を持つマルウェア「miniFlame」を発見したことを発表しました。

本リリースは、2012 年 10 月 15 日にロシア モスクワにて発表されたニュースリリースの抄訳です。


Kaspersky Lab は、サイバースパイ活動の際にデータを詐取し、感染システムを制御するよう設計された、小型で高度な柔軟性を持つマルウェア「miniFlame」を発見したことを発表しました。

SPE という別名を持つ MiniFlame は、Kaspersky Lab のエキスパートによって2012 年 7 月に発見され、当初は Flame の 1 モジュールであると考えられていました。しかし、2012 年 9 月に Kaspersky Lab の研究チームが Flame の C&C サーバーの詳細分析を行った際に、miniFlame モジュールは、独立した悪性プログラムとして、あるいは Flame と Gauss の両方に使用できるプラグインとして相互利用可能なツールであることが明らかになりました。

miniFlame を分析すると、2010 年から 2011 年の間に作成された数種類のバージョンが存在し、その一部は現在も活動中であることがわかりました。また、FlameGauss両方のマルウェアは miniFlame を「プラグイン」としてマルウェア活動に利用する機能を持つことから、双方のマルウェア作者との協力体制があったことも新たに判明しています。

主な分析結果:

  • SPE という別名を持つ miniFlame は、Flame と同じアーキテクチャプラットフォーム上に構築され、独立したサイバースパイプログラムとして、あるいは Flame や Gauss の内部コンポーネントとして機能することができる。
  • このサイバースパイツールは、バックドアとして機能し、データの詐取と感染システムへの直接アクセスを行う。
  • miniFlame の開発は 2007 年には既に開始され、2011 年の末まで続いていた可能性がある。多くのバージョンが作成されていたようだ。Kaspersky Lab は現在までに 2つの主なバージョン4.x と 5.x を含む 6 つの変種を特定している。
  • 大規模な感染をもたらした Flame や Gauss とは異なり、miniFlame の感染規模はかなり小さい。Kaspersky Lab のデータによると、感染マシンの数は 10~20 台程度で、世界中の感染件数を合計しても 50~60 件程度であると推定される。
  • 感染件数が非常に少ないこと、また情報詐取機能があり、柔軟性が高いことから、このマルウェアは標的を厳選したサイバースパイ活動に使用され、おそらく Flame や Gauss にすでに感染したマシンの内部に配置されていたと考えられる。

 

発見
miniFlame は、マルウェア Flame と Gauss の詳細分析過程において発見されました。2012 年 7 月、Kaspersky Lab のエキスパートは、Gauss の新たなモジュール(コードネーム「John」)を特定し、Flame のコンフィギュレーションファイル内の同じモジュールへの参照を発見しています。その後の 2012 年 9 月に行われた 、 Flame の C&C サーバー の分析結果からは、新しく発見されたモジュールは、Gauss と Flame 両方のプラグインとして使われる場合があるものの、実際には独立した悪性プログラムであることが判明しています。

Kaspersky Lab は miniFlame の 6 つの変種を発見しました。これらすべては 2010 年から 2011 年に作成されたものです。また、解析結果から、このマルウェアの開発は 2007 年にはすでに着手されていたこともわかってきました。Flame または Gauss のプラグインとして使用可能であるということは、miniFlame の作者とこれらのマルウェア開発チームとの協力関係があったことを示唆しており、これらの高度な脅威すべてが、同一の「サイバー兵器工場」で製造されたものであると結論づけることができます。

機能
miniFlame の感染源はまだ特定されていません。miniFlame、Flame、Gauss の関係が確認されたことから、miniFlame は Flame または Gauss に感染したマシン上にインストールされると推測することもできます。ひとたびインストールされると、miniFlame はバックドアとして機能し、攻撃者が感染マシンからあらゆるファイルを入手できるようにします。また、感染マシン上で、特定のプログラム、または Web ブラウザ、Microsoft Office、Adobe Reader、インスタントメッセンジャー、FTP クライアントなどの特定のアプリケーションを実行中に、スクリーンショットを撮る機能もあります。miniFlame は詐取したデータを C&C サーバー(miniFlame 専用または Flame と共有)に接続してアップロードします。また他のバージョンでは、miniFlame の C&C オペレーターからのリクエストにより、また別のデータ詐取用モジュールを感染マシンに送り込み、USB ドライブを感染させ、インターネットへの接続なしで感染マシンから収集したデータを格納する機能を持つものも存在します。

Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ(Alexander Gostev)は、次のようにコメントしています。「miniFlame は高精度の攻撃ツールです。サイバー攻撃の第 2 波で使用される標的型のサイバー兵器と言えるでしょう。まず第 1 波として、Flame または Gauss ができるだけ多くのマシンを感染させ、大量の情報を収集します。データを収集し、内容を確認したら、攻撃者の興味の対象となる感染マシンを特定します。そのあとで miniFlame をインストールして、さらに綿密な調査とサイバースパイ活動を実行させます。また、miniFlame の発見により、サイバー戦争において最も注目されているマルウェア、Stuxnet、Duqu、Flame、Gauss の作者たちが協力体制にあることも明るみに出ました。」

この調査に際し、CERT-Bund/BSI のご支援をいただきましたこと、御礼申し上げます。

miniFlame に関する詳細については、Securelist.com の次のブログ記事を参照してください。
http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends

miniFlame の調査結果の全文は、次のリンク先で参照できます。 http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends

 


【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については http://www.kaspersky.co.jp/ をご覧ください。

*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2011(エンドポイントセキュリティ世界市場ベンダー別 – 2011年)で4位にランクされました。このランキングは、2012年7月に出版されたIDCレポート“Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares”(世界におけるITセキュリティ製品市場:2012年~2016年の予測と2011年のベンダーシェア)に掲載されました。このレポートは、2011年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する(ランキングする)ものです。

Kaspersky Lab、厳選標的型のサイバースパイ活動用に開発された新種の悪性プログラム「miniFlame」を発見

Kaspersky Lab は、サイバースパイ活動の際にデータを詐取し、感染システムを制御するよう設計された、小型で高度な柔軟性を持つマルウェア「miniFlame」を発見したことを発表しました。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース