合計3280件のサンプルを分析した結果、Stuxnetの攻撃はいずれもイランに拠点がある5つの組織を標的としていたことが判明したという。
米Symantecは、2010年に猛威を振るったマルウェア「Stuxnet」についてさらに多数のサンプルを分析し、更新版のリポートをまとめた。
Stuxnetは、Windowsの脆弱性を突いてUSBドライブまたはファイル共有経由で感染する高度な仕組みを持つ。インフラを狙った初のマルウェアとして注目された。
Symantecは2010年9月に第1版のリポートを公表したが、その後に主要セキュリティソフトメーカーやMicrosoftの協力を得て合計3280件のサンプルを収集。新しく感染するごとにタイムスタンプを記録するStuxnetの仕組みを利用して、さらに詳しく挙動を追跡した。
その結果、Stuxnetの攻撃はいずれもイランに拠点がある5つの組織を標的としていたことが判明したという。3280件のサンプルは、この5組織内の約1万2000カ所に感染していたとされる。
攻撃は2009年6月、7月、2010年3月、4月、5月に発生し、5組織のうち1組織は3度、もう1組織は2度にわたって標的にされていた。Stuxnetには3種類の亜種が存在することも突き止め、4種類目の亜種の存在も可能性が指摘されたが確認はできなかったという。
また、Stuxnetが「315コード」「417コード」と呼ばれるコードを使った2段階の破壊戦略を持っていたことも分かっている。ただ、417コードの方は機能不全があり正確な挙動や狙いはつかめていないが、第2派の攻撃を仕掛ける戦略であったことは明らかだとしている。
Copyright © ITmedia, Inc. All Rights Reserved.