Kaspersky Lab のエキスパート：Duqu と Stuxnet の作成集団が他のマルウェアも作成

2012年1月27日

Duqu および Stuxnet による感染に関する新情報により、これらマルウェアの背後に同一の集団が存在することが確認されています。

本リリースは、2011 年 12 月29 日にロシアモスクワにて発表されたニュースリリースの抄訳です。

Duqu および Stuxnet による感染に関する新情報により、これらマルウェアの背後に同一の集団が存在することが確認されています。また、ターゲットに合わせて柔軟にカスタマイズ可能な単一のプラットフォームが使用されていることも仮定できます。さらに、このプラットフォームは Stuxnet の大流行のはるか以前に開発され、これまで考えられていたよりも積極的に利用されていた可能性があります。こうした結論は、Duqu および Stuxnet に感染したシステムで使われていたドライバーの詳細な分析、また、いまだ詳細が不明なマルウェアの研究から、Kaspersky Lab のエキスパートによって導き出されました。

このプラットフォームは、作成者がチルダ（~）で始まるファイル名を使う傾向にあるところから「Tilded」と呼ばれています。弊社エキスパートの見解では、このプラットフォームを使用して、Stuxnet および Duqu、さらにはそれ以外のマルウェアが作成されています。

Duqu と Stuxnet の関連性は、とある Duqu 関連の事例を分析する中で明らかになりました。2011 年 8 月に攻撃を受けたと考えられる感染システムの調査で、Stuxnet の 1 変種で使用されていたものと似たドライバーが発見されました。この 2 つのドライバーには明らかな類似性があるものの、電子証明書の署名日が異なるなど、細かい相違点が見られました。Stuxnet の活動に結びつく可能性のあるファイルはほかに見つかりませんでしたが、Duqu の痕跡はありました。

入手した情報を解析し、Kaspersky Lab のマルウェアデータベースをさらに調査した結果、似たような性質を持つドライバーがもうひとつ明らかになりました。これは 1 年以上前に見つかったファイルですが、コンパイルが行われたのは 2008 年 1 月、つまり Stuxnet に使用されていたドライバーの作成日の 1 年前でした。Kaspersky Lab のエキスパートによって確認された、類似の性質を持つドライバーは全部で 7 種です。このうち 3 種について、どのマルウェアに使用されたのか具体的な情報がまだ得られていない点は、注目に値します。

Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ（Alexander Gostev）は次のようにコメントしています。「いまだ確認されていないマルウェアのものであるこれらのドライバーを、Stuxnet や Duqu の活動に紐付けることはできません。Stuxnet の伝播手法が、これらドライバーの大量感染を引き起こしたのかもしれません。また、コンパイル日からいって、より標的を絞ったタイプの Duqu に紐付けることもできません。我々が考えるに、これらのドライバーは Duqu の初期バージョンで使用されたか、または、同一プラットフォームを持つ、おそらくは同一の作成者集団によるまったく別のマルウェアによる感染で使用されたのでしょう」

Kaspersky Lab のエキスパートは、Duqu および Stuxnet の背後にいるサイバー犯罪者集団が 1 年の間で数回にわたりドライバーの新バージョンを作成し、これがマルウェアのメインモジュールの読み込みに使用されたと見ています。今後の新たな攻撃に際しては、特別なプログラムの力を借りて、ドライバーのパラメーター（レジストリキーなど）が変更されるでしょう。ドライバーファイルは、そのタスクに応じ、正規の電子証明書によって署名されるか、署名なしで使用されます。

以上から、Duqu と Stuxnet は、プラットフォーム「Tilded」を元に作成され、2007 年終わりから 2008 年初めにかけて展開された、別々のプロジェクトであると結論づけられます。このプロジェクト以外にも、いまだ知られていない、別の目的とタスクを持つ変種が存在する可能性が高いと考えられます。このプラットフォームの開発が続いていることを見落としてはなりません。セキュリティエキスパートによる Duqu の発見は、さらなる改変が進行中である、または実際に改変が行われるであろうことを示唆しています。

アレキサンダー・ゴスチェフおよびイゴール・スーメンコフ（Igor Soumenkov）によるレポートの全文は、以下からご覧いただけます（英語のみ）。
https://www.securelist.com/en/analysis/204792208/Stuxnet_Duqu_The_Evolution_of_Drivers

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人／SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については http://www.kaspersky.co.jp/ をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を http://www.viruslistjp.com/ にて提供しています。