メインコンテンツにスキップする

Duqu:イラン、スーダンを狙った標的型攻撃を検知

2011年11月26日

Kaspersky Lab のウイルスアナリスト達は、イランの産業施設を標的にした悪名高きワーム Stuxnet と共通の特徴を持つ新たなマルウェア Duqu について、引き続き調査を進めています。

本リリースは、2011 年 10 月 26 日にロシア モスクワにて発表されたニュースリリースの抄訳です。

 

Kaspersky Lab のウイルスアナリスト達は、イランの産業施設を標的にした悪名高きワーム Stuxnet と共通の特徴を持つ新たなマルウェア Duqu について、引き続き調査を進めています。しかし、この新しい IT 脅威の作者の最終目的が何であるのかは、いまだに解明されていません。すでに明らかになっているのは、Duqu は対象を限定した標的型攻撃を実行するための普遍的なツールであり、実行すべきタスクに従って作り替えが可能であるということです。

Kaspersky Lab のスペシャリストが Duqu の分析を行ったところ、最初の段階でそのいくつかの特徴が明らかになりました。まず、システムを感染させるために使用されるドライバーは、検知された Duqu の変種ごとに異なっていました。ある変種のドライバーには偽のデジタル署名が使用されていましたが、別のドライバーには署名が行われていませんでした。もう 1 つは、まだ未確認ながらも、Duqu の別の構成要素が存在するようだということです。これら 2 つの発見により、攻撃対象によって、このマルウェアの働きを変更可能であると推測できます。

Stuxnet と共通点が多いとされる Duqu ですが、たった数件の感染しか検知されていないという点では異なっています(Kaspersky Lab が Duqu の調査に関する最初の報告記事を公開した時点の検知数は、1 件のみでした)。このマルウェアの最初のサンプルが検知されて以来、クラウドベースの Kaspersky Security Network のおかげで、新しい感染事例が 4 件報告されました。そのうちの 1 件では、スーダンのユーザーが標的とされ、残りの 3 件はイランのユーザーを狙ったものでした。

これら 4 つの各事例では、システムを感染させるためにある特異的な変更を加えたドライバーが使用されていました。さらに注目すべきは、イランでのある感染事例で、MS08-067 脆弱性を悪用したネットワーク攻撃が 2 度試行されたことです。この脆弱性は Stuxnet でも悪用されましたが、それ以前にも悪性プログラム Kido に利用された経緯があります。2 度のネットワーク攻撃のうち 1 回目は 10 月 4 日に、2 回目は 10 月 16 日に実行されています。そしてその双方が、以前米国のインターネットプロバイダーが所有していた同一の IP アドレスからの攻撃でした。このような攻撃が 1 度だけ発生したものであれば、典型的な Kido のアクティビティであると片付けられてしまうところでした。しかし攻撃は続けて 2 度行われました。このような特徴により、イランの特定のユーザーを標的にした攻撃だったことが推測できます。また、この攻撃において、また別のソフトウェアの脆弱性が狙われた可能性もあります。

以上の新たな発見について、Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ(Alexander Gostev) は次のようにコメントしています。「Duqu の攻撃対象がイラン内のシステムであることは事実です。しかし、現在まで、それらのシステムが産業施設または核関連施設に関係しているという裏付けはありません。そのため、この新種のマルウェアが Stuxnet と同じ対象を狙ったものであると断定することはできません。はっきりしているのは、Duqu の場合、感染の様相が事例ごとに独自的であるということです。ここから、Duqu は事前に決定された対象を狙う標的型攻撃に使用されていると言えます」

Duqu に関する新たな調査結果は securelist.com 内の以下のページでご覧いただけます。
http://www.securelist.com/en/blog/208193197/The_Mystery_of_Duqu_Part_Two

 

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人/SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については http://www.kaspersky.co.jp/ をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を http://www.viruslistjp.com/ にて提供しています。

Duqu:イラン、スーダンを狙った標的型攻撃を検知

Kaspersky Lab のウイルスアナリスト達は、イランの産業施設を標的にした悪名高きワーム Stuxnet と共通の特徴を持つ新たなマルウェア Duqu について、引き続き調査を進めています。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース