コラム
» 2010年07月20日 13時43分 UPDATE

LNKエクスプロイトに関するその後の分析

LNKショートカットファイルを使用する新たなゼロデイエクスプロイトがSCADAシステムを狙っている。SCADAのセキュリティが話題となりそうだ。

[sean sullivan,エフセキュア]

 Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

 われわれは同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1Kバイトだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリーとして検出される。

 われわれは昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

 同ルートキットコンポーネントは、デジタル署名されており、われわれは有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

 いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

 有効なデジタル署名を用いた悪意あるソフトウェアについては、F-Secureのヤルノ・ニエメラが先ごろ、「Caro 2010 Workshop」のプレゼンテーション(署名されているのだからクリーンでしょう?)で予測していた。

 標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザーが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組み合わせを使用しているようだ。

 従って、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている。

 われわれは今後も同ケースについて進展があり次第、詳細を報告する予定だ。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

セキュリティの最前線はエフセキュアブログで

原文へのリンク

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -