マルウェア Duqu は産業用制御システムを狙った悪名高き Stuxnet の兄弟分であり、非常に洗練されたサイバー攻撃の新たな一例となっています。
本リリースは、2011 年 11 月 21 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
マルウェア Duqu は産業用制御システムを狙った悪名高き Stuxnet の兄弟分であり、非常に洗練されたサイバー攻撃の新たな一例となっています。Kaspersky Lab のエキスパートによる解析の結果、Duqu は個々の業種をねらった標的型攻撃に用いられており、したがって、すべての Duqu の感染は単なるアクシデントではなく巧妙に仕組まれたものだということがわかりました。そこで Duqu の解析と対応の一環として、Kaspersky Lab は Duqu 問題専用のメールアドレス(stopduqu@kaspersky.com)を開設しました。企業・個人を問わず、Duquに感染した疑いのある方は、このアドレスからKaspsresky Lab のエキスパートにDuqu感染の調査依頼をお送りいただけます*。
*お問い合わせについては、英語のみでの対応となります。
Duqu に対しては、「対応したらそれでおしまい」というアプローチでは解決できない、ということを理解することが重要です。感染の試みが見られたということは、サイバー犯罪者にとってそのシステムのコントロール権限を奪取することが重要だということを物語っており、他の手段を用いてさらに攻撃を重ねる可能性が高いと考えられます。Kaspersky Lab にコンタクトしていただくことで、みなさまの機密情報を守るお手伝いをさせていただきます。
Kaspersky Lab のエキスパートが Duqu の調査を進めた結果、これまで知られていなかった新たな感染手順が明らかになりました。トロイの木馬による侵入メソッドはソーシャルエンジニアリングの手法が用いられており、標的が確実に感染するよう念入りに仕組まれていました。E メールには脆弱性を含んだ doc ファイルが添付されていましたが、これは Microsoft Windows のフォント解析エンジンに存在していたゼロデイの脆弱性でした。カスペルスキー製品はこの脆弱性を悪用するエクスプロイトだけでなく、Duqu の既知の変種すべてを検知しブロックします。
解析の最新結果をまとめたレポートでは、トロイの木馬のドライバー(最初にシステム上でロードされるコンポーネント)について解説しています。また、コマンド & コントロールサーバーと通信する手法や、Duqu のコンポーネントのひとつである DLL データについても説明しています。この DLL は、ネットワーク共有に接続できるだけでなく他の感染マシンのコントロールサーバーとして動作することも可能だということが、明らかになりました。Duqu は機密情報を盗み出すための特別な機能を備えており、Kaspersky Lab のエキスパートはその複雑なデータ構造についてさらなる解析を進める予定です。Duqu に関する最新レポートは、securelist.com 内のこちらの記事でご覧いただけます。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人/SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を
http://www.viruslistjp.com/
にて提供しています。
