Flameに関する質問
Stuxnetのような高度で複雑な構造を持ったマルウェアが「Flame」が見つかった。Flameに対する疑問にF-Secureの専門家が答える。
現在、(5月28日の)月曜日に情報が開示された諜報活動ツール「Flame」に関し、多くの議論が進行中だ。
カスタマーから、さらにはマスコミからも多くの質問を受けている。
ミッコが昨日、PRI's The WorldのClark Boydと、最新のニュースについて話をした。
SymantecのLiam O Murchuは、MarketplaceのKai Ryssdalと、Flameの機能について非常に「経済的な」会話をしている。
いくつか良い質問がなされている。そして多くの誇張も発生している。
以下は、我々自身が受けた質問の一部だ。
- 私はFlameから保護されているか?
それは正しい質問の仕方ではない。「私は危険にさらされているか?」と聞くべきだ。
- 分かった。では私はFlameの危険にさらされているのか?
あなたは中東政府のシステム管理者だろうか?
違う? だったら……あなたは危険にさらされてはいない。
Flameに感染していると見積もられるコンピュータの数は1000台だが、世界には10億台以上のWindowsコンピュータ存在する。計算してみてほしい。宝くじ並みの確率だ。
さらに、Flameはワームではない。そのアーキテクチャにはワーム的な機能が含まれているが、それらの機能はデフォルトでは停止されている。よってFlameはワームのようには拡散しないし、したがって、あなたが特に標的とされていない限り、感染することは無い。
それから、現在、Flameがイン・ザ・ワイルドであることが知られているという事実がある。だから……それは「止められて」いるのだ。Flameの標的でさえ、もはや危険にさらされていない。諜報活動ツールの真価は、それが秘密であるということにある。Flameはもはや秘密ではなく、したがって見捨てられるだろう。
- OK。それでも(理論的には)私は保護されているのか?
われわれはFlameの検出を行っており、現行のソフトウェアはFlameをブロックし、われわれのテストに基づいて、機能することを防止している。もしあなたがアンチウイルスソフトの最新版を持っており、それが最新のデータベースで適切に機能しているなら、問題無いはずだ。
- ということは、私は安全なのか?
安全? OK……Flameは少なくとも2年、出回っていたと推測されている。これはソフトウェアコードの観点では古いものだ。そしてFlameは現在、よく知られている。心配する必要は無い。Flameは失効している。
しかし……Flameを興味深いと考えるべき理由は、それではない。Flameで重要なのは、他に何が……まだ知られていない脅威があり得るか、ということだ。
- ということは、私は安全ではない?
もとに戻って、「私は危険にさらされているのか」と問い直してほしい!
商業ベースのアンチウイルスおよびセキュリティ製品は、犯罪者、凶悪犯、デジタルギャングによるイン・ザ・ワイルドな一般的脅威からユーザーを守る(そしてそれは絶え間ない戦いだ)ことにフォーカスして設計されている。特殊部隊Seal Team Sixのデジタル版から、ユーザを保護するようには設計されていない。よってもしあなたが、自分に照準が合わせられていることを知っているような人物なら……あなたは安全ではない。
- 将来はどうだろう? Flameの技術はサイバー犯罪者に、連携できる新しいツールを与えるのだろうか?
この質問を受けたとき、われわれのラボのアナリストのうち2人が、文字通り大笑いした。Flameは巨大だ。そして複雑だ(多くの合法的ソフトウェアが複雑なように)。しかし先進的なクライムウェアではない。そうではないのだ。データを盗み出すクライムウェアは、必要なものを盗み出す、最も手早く、最も効果的な方法に興味を抱いている。そして素早く進化する。進歩的進化と呼んでもいいかもしれない。
他方Flameは、限られた範囲に対して非常に慎重に使用された「限定版」スパイツールだ。進化する必要は無かった。明らかに、先進的な計画はあっただろうが、しかしそれは必ずしもわれわれが先進的テクノロジーと呼ぶものである必要は無いのだ。
- Flameは何のために設計されたのか?
情報収集だ。コンピュータからのデータばかりでなく、会話やチャット、連絡先情報も――諜報活動だ。
- Flameを作ったのは誰か?
そう、それは収益を上げるために設計されたものではない。「ハッカー」により設計されたにしてはあまりに巨大で「複雑」だ。よって、民族国家によるものではないかと思われる。
- ちょっと待って。何だって? 民族国家が諜報活動?
民族国家は諜報活動を行う――しなかったことがあるだろうか? この頃では彼らはデジタル諜報活動ツールを使用しているが、驚くべき事ではないだろう。
- Flameを作ったのはどこの国か?
Flameの構築にはかなりのリソースが投入されたことは明白だ。それを考えると、Flameを開発したのはどの軍事産業かという質問の方が良いだろう。
- 軍事産業?
そう。Flameの構築方法から、われわれは業者――支払いを受けている組織により書かれたと推測している。
- 軍事産業がFlameのようなものを開発するのか?
自分でご覧いただきたい。以下はミッコ(ミッコ・ヒッポネン氏)が最近ツイートした内容だ。
以下がサイバーソフトウェアエンジニアの求人だ:
「この刺激的でテンポの速い研究開発プロジェクトでは、攻撃的サイバースペース作戦(OCO)の任務を計画、実行、評価する。」
望ましい資格:
うーん、SQLデータベース。FlameはSQLデータベースを使用している……だがプログラミング言語Luaへの言及は無い。しかし、軍事産業はこの種のものを扱う特殊な心得があるように思われる。
そしてそれはノースロップ・グラマンばかりではない。多くの軍事産業が、この種のプロジェクトに携わっている。ロッキード・マーティンやレイセオンといった企業だ。
- え、ノースロップ・グラマン、ロッキード・マーティン、レイセオン? 最近、これらの(そして他の)企業に関連した「ハッカー」に関する記事を見なかったっけ?
そうそう!その通り。RSAのハッキングだ。そう、RSAのハッキングの結果として、標的とされた多くの企業の中に、軍事産業が含まれていた。
- (中国人とされる)ハッカーが盗み出したのは何だと思う?
- 中国もFlameを持っている可能性は?
- 私は「安全」?
うーん、よく考えても、それに対する一つの良い答えというものは無い。
非常に複雑だ(慣れるしかない。)
P.S. どなたか、ノースロップ・グラマンが望ましいとする資格に、Metasploit、World Wind、Google Earthといった「セキュリティ調査」ツールの知識が含まれているのが気がかりだという方はいらっしゃるだろうか?
関連記事
- Stuxnet級の高度なマルウェア出現、サイバー兵器に使用か
国家の施設を標的とする極めて高度なマルウェア「Flame」が見つかった。Kaspersky Labでは、DuquやStuxnetと同じ「スーパーサイバー兵器」の部類に属すると分析している。 - Stuxnetは米政府が開発、大統領が攻撃命令――New York Times報道
産業インフラに感染するマルウェア「Stuxnet」は、イランによる核兵器開発の進展を遅らせる目的で米国とイスラエルの政府が開発したものだったとNew York Timesが伝えた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.