国家の関与が疑われるマルウェア「Duqu 2.0」は、Kasperskyのセキュリティ技術やイランの核開発協議に対するスパイ活動に使われていたことが分かった
Kaspersky Labは6月10日、国家の関与が疑われる極めて高度なマルウェアが、同社の社内ネットワークから見つかったと発表した。イランの核開発計画に関する国際協議参加国に対するスパイ活動にも使われていたと伝えている。
Kasperskyはこのマルウェアを「Duqu 2.0」と命名。かつてイランの核開発監視に使われたともいわれる高度なマルウェア「Duqu」が新しいプラットフォームとして再浮上したものと見ている。Duqu 2.0は複数のゼロデイの脆弱性を悪用し、複雑な仕組みを実装していて検出は極めて困難だという。
これほどのマルウェアの開発とメンテナンスには莫大なコストがかかるはずであり、その思考はこれまでに出現したマルウェアより1世代先を行っているとKasperskyは指摘、「国家が関与しているのはまず間違いない」と断言した。
Duqu 2.0はKasperskyのネットワークに侵入して、同社が開発しているAPT対策などのセキュリティ技術に対するスパイ活動を試みていたことも分かったという。ただし、同社の製品やサービスが侵害されたわけではなく、ユーザーにリスクが及ぶことはないと強調している。
さらに、2014年秋に開かれたイランの核開発計画に関する国際協議の参加者や、ナチス・ドイツのアウシュビッツ強制収容所解放70年記念行事などもDuqu 2.0のスパイ活動の標的になっていたとされる。
、各国での捜査はまだ続いており、「攻撃はもっと広範に及んでいて、各国のトップ級が標的にされているのは間違いない」とKasperskyは推測する。しかし同社がDuqu 2.0の存在を暴露したことを受けて、攻撃者が感染先のネットワークで発見されるのを防ぐために、自分たちの存在を抹消した可能性も大きいと指摘した。
Kasperskyは、Duqu 2.0への関与が疑われる国家の名指しは避けるとしながらも、「政府によるITセキュリティ企業に対する攻撃は言語道断。我々は責任ある国家と同じ側に立ち、安全でセキュアなサイバー世界という目標を共有しているはず」と強調している。
攻撃に使われたWindowsのゼロデイの脆弱性についてはMicrosoftに報告した。Microsoftは6月9日に公開したセキュリティ更新プログラム「MS15-061」でこの脆弱性を修正している。
Copyright © ITmedia, Inc. All Rights Reserved.