Stuxnetのような高度で複雑な構造を持ったマルウェアが「Flame」が見つかった。Flameに対する疑問にF-Secureの専門家が答える。
現在、(5月28日の)月曜日に情報が開示された諜報活動ツール「Flame」に関し、多くの議論が進行中だ。
カスタマーから、さらにはマスコミからも多くの質問を受けている。
ミッコが昨日、PRI's The WorldのClark Boydと、最新のニュースについて話をした。
SymantecのLiam O Murchuは、MarketplaceのKai Ryssdalと、Flameの機能について非常に「経済的な」会話をしている。
いくつか良い質問がなされている。そして多くの誇張も発生している。
以下は、我々自身が受けた質問の一部だ。
それは正しい質問の仕方ではない。「私は危険にさらされているか?」と聞くべきだ。
あなたは中東政府のシステム管理者だろうか?
違う? だったら……あなたは危険にさらされてはいない。
Flameに感染していると見積もられるコンピュータの数は1000台だが、世界には10億台以上のWindowsコンピュータ存在する。計算してみてほしい。宝くじ並みの確率だ。
さらに、Flameはワームではない。そのアーキテクチャにはワーム的な機能が含まれているが、それらの機能はデフォルトでは停止されている。よってFlameはワームのようには拡散しないし、したがって、あなたが特に標的とされていない限り、感染することは無い。
それから、現在、Flameがイン・ザ・ワイルドであることが知られているという事実がある。だから……それは「止められて」いるのだ。Flameの標的でさえ、もはや危険にさらされていない。諜報活動ツールの真価は、それが秘密であるということにある。Flameはもはや秘密ではなく、したがって見捨てられるだろう。
われわれはFlameの検出を行っており、現行のソフトウェアはFlameをブロックし、われわれのテストに基づいて、機能することを防止している。もしあなたがアンチウイルスソフトの最新版を持っており、それが最新のデータベースで適切に機能しているなら、問題無いはずだ。
安全? OK……Flameは少なくとも2年、出回っていたと推測されている。これはソフトウェアコードの観点では古いものだ。そしてFlameは現在、よく知られている。心配する必要は無い。Flameは失効している。
しかし……Flameを興味深いと考えるべき理由は、それではない。Flameで重要なのは、他に何が……まだ知られていない脅威があり得るか、ということだ。
もとに戻って、「私は危険にさらされているのか」と問い直してほしい!
商業ベースのアンチウイルスおよびセキュリティ製品は、犯罪者、凶悪犯、デジタルギャングによるイン・ザ・ワイルドな一般的脅威からユーザーを守る(そしてそれは絶え間ない戦いだ)ことにフォーカスして設計されている。特殊部隊Seal Team Sixのデジタル版から、ユーザを保護するようには設計されていない。よってもしあなたが、自分に照準が合わせられていることを知っているような人物なら……あなたは安全ではない。
この質問を受けたとき、われわれのラボのアナリストのうち2人が、文字通り大笑いした。Flameは巨大だ。そして複雑だ(多くの合法的ソフトウェアが複雑なように)。しかし先進的なクライムウェアではない。そうではないのだ。データを盗み出すクライムウェアは、必要なものを盗み出す、最も手早く、最も効果的な方法に興味を抱いている。そして素早く進化する。進歩的進化と呼んでもいいかもしれない。
他方Flameは、限られた範囲に対して非常に慎重に使用された「限定版」スパイツールだ。進化する必要は無かった。明らかに、先進的な計画はあっただろうが、しかしそれは必ずしもわれわれが先進的テクノロジーと呼ぶものである必要は無いのだ。
情報収集だ。コンピュータからのデータばかりでなく、会話やチャット、連絡先情報も――諜報活動だ。
そう、それは収益を上げるために設計されたものではない。「ハッカー」により設計されたにしてはあまりに巨大で「複雑」だ。よって、民族国家によるものではないかと思われる。
民族国家は諜報活動を行う――しなかったことがあるだろうか? この頃では彼らはデジタル諜報活動ツールを使用しているが、驚くべき事ではないだろう。
Flameの構築にはかなりのリソースが投入されたことは明白だ。それを考えると、Flameを開発したのはどの軍事産業かという質問の方が良いだろう。
そう。Flameの構築方法から、われわれは業者――支払いを受けている組織により書かれたと推測している。
自分でご覧いただきたい。以下はミッコ(ミッコ・ヒッポネン氏)が最近ツイートした内容だ。
以下がサイバーソフトウェアエンジニアの求人だ:
「この刺激的でテンポの速い研究開発プロジェクトでは、攻撃的サイバースペース作戦(OCO)の任務を計画、実行、評価する。」
望ましい資格:
うーん、SQLデータベース。FlameはSQLデータベースを使用している……だがプログラミング言語Luaへの言及は無い。しかし、軍事産業はこの種のものを扱う特殊な心得があるように思われる。
そしてそれはノースロップ・グラマンばかりではない。多くの軍事産業が、この種のプロジェクトに携わっている。ロッキード・マーティンやレイセオンといった企業だ。
そうそう!その通り。RSAのハッキングだ。そう、RSAのハッキングの結果として、標的とされた多くの企業の中に、軍事産業が含まれていた。
うーん、よく考えても、それに対する一つの良い答えというものは無い。
非常に複雑だ(慣れるしかない。)
P.S. どなたか、ノースロップ・グラマンが望ましいとする資格に、Metasploit、World Wind、Google Earthといった「セキュリティ調査」ツールの知識が含まれているのが気がかりだという方はいらっしゃるだろうか?
Copyright © ITmedia, Inc. All Rights Reserved.