10 月のマルウェア：Stuxnet の再来と、史上最強の Mac OS マルウェア

2011年12月1日

10 月のハイライトといえば、間違いなく Duqu でしょう。新しく発見されたこのトロイの木馬は、最初のサイバー兵器として知られる Stuxnet ワームとの類似性を数多く有していることから、高い注目を集めました。

本リリースは、2011 年 11 月 7 日にロシアモスクワにて発表されたニュースリリースの抄訳です。

Kaspersky Lab は、2011年10月度のマンスリーレポートを発表します。

数字で見る 10 月
10 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです：

ネットワーク攻撃が阻止された回数：161,003,697
Web サイト経由での感染の試行回数：72,207,273
ユーザーの PC 上で検知・駆除されたマルウェア数：205,822,404
ヒューリスティック検知数：80,900,079

画期的なアクティビティDuqu

10 月のハイライトといえば、間違いなく Duqu でしょう。新しく発見されたこのトロイの木馬は、最初のサイバー兵器として知られる Stuxnet ワームとの類似性を数多く有していることから、高い注目を集めました。この 2 つの悪意あるプログラムが見せる数多くの類似性は、双方のプログラムが同じグループの人間によって書かれたか、または Stuxnet のソースコードが流用されたことを示唆しています（ただし、Stuxnet のソースコードは公には入手できません）。

しかし、この 2 つのプログラムには相違点も多数あります。特に大きな相違点として、Duqu には Stuxnet のような産業システムを標的とする機能がありません。また、Duqu ファイルには、メインモジュールのほかに、スパイ型トロイの木馬モジュールが含まれています。このモジュールは、キーボードから入力されたデータの傍受、スクリーンショットのキャプチャ、システム情報の収集などを可能にします。こうした特長は、Dequ の主な目的が、産業妨害工作ではなく産業スパイ活動であることを示唆しています。

Kaspersky Lab のアナリストは、さらなる調査により、主にイランでの（この点でも Stuxnet と類似）新たな Duqu の被害者を突き止めました。チーフセキュリティエキスパートであるアレキサンダー・ゴスチェフ（Alexander Gostev）は次のようにコメントしています。「我々は、それまで見つかっていなかった Duqu のファイルも発見しました。このことは、Duqu を操る人間がいまだ活動を続けていること、そして、大量感染をもたらした Stuxnet とは異なり、攻撃の対象を注意深く選定しているという我々の推理を裏づけるものです。さらに、攻撃の標的ひとつひとつに対しそれぞれ異なるファイルセットが使用されていたことが判明しました。スパイウェア型トロイの木馬だけでなく、他の各種機能を含む、また別のモジュールが使用される可能性も考えられます」

個人ユーザーへの攻撃

Bundestrojan（ドイツ政府製トロイの木馬）

ドイツでは 10 月、5 つの連邦州が、捜査においてトロイの木馬 Backdoor.Win32.R2D2 を使用したと認め、物議を醸しました。ドイツの連邦法が当局に傍受を容認しているのは容疑者の Skype トラフィックのみであるのにも関わらず、そのトロイの木馬はそれ以外のプログラムのスパイ機能を備えていたのです。ドイツのハッカー集団 Chaos Computer Club（カオス・コンピュータ・クラブ）が、カスペルスキー・ドイツ支社の応援を得て調査を行ったところ、あることが明らかになりました。それは、このトロイの木馬が、Skypeメッセージだけでなく、広く普及しているブラウザーや、ICQ・MSN Messenger・LowRateVoip・paltalk・SimpPro・sipgate X-Lite・VoipBuster・Yahoo! Messenger といった各種インスタントメッセンジャーや VoIP プログラムも対象にしていたことです。また、このバックドアは、64 ビット版の Windows 上でも動作可能であることが分かりました。

このケースは、いわゆる「政府製トロイの木馬」の存在と、その使用に関する法律上の問題を再提起しました。この問題については、他のアンチウイルスベンダーと同様に、我々カスペルスキーも断固たる姿勢を取る所存です。誰が何の目的で開発を行ったかにかかわらず、あらゆるマルウェアを検知する努力を続けます。

Android がターゲットの首位に

10 月は、モバイル向け脅威の世界でもターニングポイントでした。Kaspersky Lab の統計によると、Android 向けマルウェアの総数が、ついに Java 2 Micro Edition 向けの総数を上回りました。ここ 2 年間、J2ME 向けの脅威が最もまん延していました。Kaspersky Lab のシニアマルウェアアナリスト、デニス・マースレンニコフ（Denis Maslennikov）は、次のように述べています。「Android 向けマルウェアの急増は、ウイルス作者達が当面は Android 向けマルウェアに集中するだろうということを暗示しています」

モバイル向け脅威のプラットフォーム別内訳

Mac OS X を狙う最も危険なトロイの木馬

10 月には、Mac OS X を標的とする偽 Flash Player 型トロイの木馬の新バージョン Trojan-Downloader.OSX.Flashfake.d が検知されました。以前のバージョン同様に、その主な機能は、Adobe Flash Player のインストーラーを装って侵入しファイルをダウンロードすることです。しかし、このバージョンには、Mac に内蔵されたウイルス対策システム XProtect を無効化するという新機能が追加されていました。XProtect は、シンプルなシグネチャベースのスキャナーであり、毎日更新されます。無効化されると Apple から更新が受け取れなくなり、使い物にならなくなってしまいます。XProtect には自己防御機能が実装されていなかったため、このようなことが可能になりました。Trojan-Downloader.OSX.Flashfake.d は、コンピューター内で起動すると、削除されないように自身を保護するだけでなく、本来内蔵の保護システムで検知されるはずの他のマルウェアがシステムを攻撃できるようにします。そのため、このトロイの木馬プログラムは他の OS X 向けマルウェアよりずっと危険性が高いのです。

国家組織および企業ネットワークへの攻撃

国家組織および企業ネットワークに対する攻撃に関しても、10 月はインシデント満載の月でした。主な標的となったのは、米国および日本の組織でした。

まず、日本の衆議院のコンピューターに対する攻撃が検知されました。この攻撃の結果、それらコンピューターを使用する国会議員の内部文書とすべての E メールにアクセスできた可能性が高いことが指摘されています。また、いくつかの在外日本大使館のコンピューターにマルウェアが発見されました。このマルウェアは、先に Google への攻撃に使用された中国の 2 台のサーバーに接続していました。8 月に発生した三菱重工業への攻撃に関する追加情報も現れました。警視庁の捜査により、この攻撃の標的となった 83 台のコンピューター内に約 50 種類ものマルウェアが発見されたのです。また、ハッカーによる感染システムへのアクセスが 30 万回にもわたって行われたことも明らかになりました。さらに、攻撃元を追跡する過程で、日本航空宇宙工業会が所有するコンピューターの感染も判明しました。ハッカーは、このコンピューターを悪用して三菱重工および川崎重工宛に悪質な E メールを送信していました。また、米国内の匿名プロキシサーバーから SJAC のマシンにアクセスすることにより痕跡を隠していました。それでも日本の専門家たちは、ハッカーは中国から侵入したという説を曲げることはありませんでした。一方で、米空軍基地の無人飛行機の地上制御システムにウイルスが発見された事件は、前述のケースに比べると大したことではないように見えますが、これも重要な軍事施設としては許し難いお粗末なセキュリティの実例だと言えます。米国防総省内の匿名の情報筋は、そのトロイの木馬は多くのオンラインゲームのユーザーデータを盗むタイプのもので、空軍のシステムを攻撃する意図はなく、偶然迷い込んでしまったのだろうという見解を述べています。

2011 年 10 月度のマルウェアマンスリーレポート全文は次のページでご覧いただけます：
http://www.viruslistjp.com/viruses/analysis/?pubid=204792147