Stuxnetに酷似のマルウェア「Duqu」が出現、産業インフラ狙いの攻撃再来か

Stuxnetと同じソースコードを使った新手のマルウェア「Duqu」が出現した。「いずれStuxnetのような攻撃が発生する前兆」とSymantecは予想する。

» 2011年10月19日 07時23分 公開
[鈴木聖子,ITmedia]

 米Symantecなどのセキュリティ各社は10月18日、産業制御システムを狙うマルウェア「Stuxnet」に酷似した新手のマルウェアが見つかったと伝えた。

 Stuxnetは極めて高度な仕組みを持ち、インフラを狙った初のマルウェアとして2010年に世界中の注目を浴びた。今回新たに見つかったマルウェアの「Duqu」は、このStuxnetと同じソースコードを使っているという。Stuxnetのソースコードは公開されていないことから、背後には同じ作者が絡んでいるようだとセキュリティ各社は指摘する。

 Duquはバックドア機能を持ったトロイの木馬で、名称は「~DQ」で始まる名称のファイルを作成することに起因する。コードや手口はStuxnetに酷似しているが、目的は完全に異なるといい、自己増殖機能も備えていない。

 Duquの目的は産業制御システムのメーカーなどから設計文書などの知財を収集するスパイ活動にあり、標的のシステムに感染すると、キー入力を記録してシステム情報を盗み出すインフォスティーラを呼び込む仕掛けになっていた。情報収集の狙いは産業制御施設や認証局に対する将来的な攻撃を容易にすることにあるとみられる。

 Symantecが入手したDuquのサンプルは欧州にあるコンピュータシステムから見つかったものだといい、限られた数の組織の特定資産に照準が絞られていた。しかし別の組織を狙った亜種が存在する可能性もあるとSymantecは指摘し、「DuquはいずれStuxnetのような攻撃が発生する前兆になる」と予想している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ