Kaspersky Lab は、国家主体の高度なサイバースパイ活動 Flame に関する新たな調査結果を発表します。
本リリースは、2012 年 9 月 17 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab は、国家主体の高度なサイバースパイ活動 Flame に関する新たな調査結果を発表します。Kaspersky Lab は、国際電気通信連合(ITU)の IMPACT 、 CERT-Bund/BSI 、および Symantec と協力し、Flame の作者が使用した多数のコマンド & コントロール(C&C)サーバーの詳細な分析を行いました。これによりFlame に関する画期的な新事実が明らかになりました。特に、未知の悪性プログラム 3 種の形跡と、Flame のプラットフォームが 2006 年にはすでに開発されていたことは重要な発見です。
主な発見:
- Flame の C&C プラットフォームの開発は、2006 年 12 月にはすでに始まっていた。
- C&C サーバーは、プロジェクトの実態をホスティングプロバイダーあるいは無作為の検査から隠すために、コンテンツ管理システムを装っていた。
- C&C サーバーは、感染マシンから盗んだデータを受信するために 4 種類の異なるプロトコルを使用することができ、そのうち 1 つが Flame の攻撃を受けたコンピュータに対応している。
- Flame が使用していないプロトコルが 3 つあるということは、Flame に関連する別のマルウェアが少なくともあと 3 種類は作成されていた証拠であるが、その実態については現在不明である。
- れらの Flame 関連の未知の悪性オブジェクトの 1 つは、現在も活動中である。
- プラットフォームの開発が現在も進められているという兆候があった。「レッドプロトコル」と呼ばれる通信スキームが存在すると言われているが、今のところ実装はされていない。
- Flame の C&C が、Stuxnet や Gauss といった他の既知のマルウェアの制御に利用された形跡はない。
Flame によるサイバースパイ活動は、ITU主導で実施された調査の折に、Kaspersky Lab によって 2012 年 5 月に、発見されました。ITUのIMPACTはこの発見に続いて、適切な修復と駆除を実行するよう144の加盟国に警告を出すために迅速に行動しました。 ITUコードが非常に複雑であること、また Stuxnet の開発者との関係が確認されたことから、Flame もまた国家主体の高度なサイバー作戦であることが確実視されています。当初、Flame の活動は 2010 年に始まったと考えられていました。しかし、C&C インフラ(80 以上もの既知のドメイン名が含まれていた)の分析が初めて行われると、活動はこれより 2 年も前から行われていたことが明らかになりました。
この調査結果は、Flame に使用された複数の C&C サーバーから取得した内容を分析することにより得られたものです。Kaspersky Lab がこのマルウェアの存在を暴いた直後に、Flame の制御インフラはオフラインになりましたが、この情報の取得に成功しています。すべてのサーバーでは Debian オペレーティングシステムの 64 ビット版が稼動し、OpenVZ コンテナベースで仮想化されていました。サーバーのコードの大部分はプログラム言語 PHP で書かれています。Flame の作者は、特定の手法を用いて、C&C サーバーを通常のコンテンツ管理システムに見せかけ、ホスティングプロバイダーの注意を逸らそうとしていました。
攻撃者以外の何物も感染マシンからアップロードさせたデータを入手できないように、高度な暗号化技術が採用されていました。被害マシンへのデータ転送を行うためのスクリプトを分析すると、4 種類の通信プロトコルが明らかになり、そのうち 1 種類のみが Flame に対応していました。このことは、少なくとも 3 種類の別のマルウェアがこれらの C&C サーバーを使用していたことを意味します。また、1 種類以上の Flame 関連のマルウェアが活動中であるという十分な証拠もあります。これらの未知のマルウェアは、今のところ検知されていません。
もう 1 つ重要な分析結果は、Flame の C&C プラットフォームの開発が 2006 年 12 月にはすでに開始されていたという点です。C&C サーバー上に、「レッドプロトコル」と呼ばれる未実装の新しいプロトコルが発見されたことから、このプラットフォームが現在もまだ開発途中であることがわかります。サーバーのコードの最新版は、あるプログラマーによって 2012 年 5 月 18 日に作成されています。
Kaspersky Lab のチーフセキュリティエキスパート、アレクサンドル・ゴスチェフ(Alexander Gostev)は次のようにコメントしています。「Flame の作者は、形跡を消すのが上手なため、Flame によって、どれだけのデータが盗まれたのか推測するのは困難です。しかし、攻撃者が犯したある 1 つの過ちにより、1 台のサーバーが保持できる容量以上のデータを検知することができました。これを基に、5,000 台以上もの感染マシンから、1 週間に 5 ギガビット以上のデータが、ある特定のサーバーにアップロードされていたことを発見しました。これは、非常に大規模なサイバースパイ活動が行われていることを示す一例です。」
Flame の C&C サーバーの関する詳細分析の内容は、Securelist.com にて公開されます:にてご覧いただけます。
Flame に関する詳しい情報については、最新の FAQを参照してください:https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answersにてご覧いただけます。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。
*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2011(エンドポイントセキュリティ世界市場ベンダー別 – 2011年)で4位にランクされました。このランキングは、2012年7月に出版されたIDCレポート“Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares”(世界におけるITセキュリティ製品市場:2012年~2016年の予測と2011年のベンダーシェア)に掲載されました。このレポートは、2011年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する(ランキングする)ものです。
