Stuxnet級の高度なマルウェア出現、サイバー兵器に使用か

国家の施設を標的とする極めて高度なマルウェア「Flame」が見つかった。Kaspersky Labでは、DuquやStuxnetと同じ「スーパーサイバー兵器」の部類に属すると分析している。

[鈴木聖子，ITmedia]

　ロシアのセキュリティ企業Kaspersky Labは5月28日、StuxnetやDuquと同じ部類に属する極めて高度なマルウェアが、国家の施設を攻撃するためのサイバー兵器として出回っているのを見つけたと発表した。イランのセキュリティ対策機関も同日、ほぼ同じ内容の発表を行っている。

　このマルウェアは「Flame」と呼ばれ、国際電気通信連合（ITU）とKasperskyが別の破壊的なマルウェアを調べている過程で見つかったという。主にサイバースパイの機能を持ち、コンピュータ画面のスクリーンショット、標的とするシステムについての情報、保存されたファイル、連絡先情報、音声録音記録などの情報を盗み出してマルウェア制御用サーバのネットワークに送信。Stuxnetが悪用したのと同じプリンタの脆弱性やUSB経由の感染手段を使い、ローカルネットワークを介して増殖するワームの性質を持つ。

　Kasperskyの専門家は同マルウェアについて「これまでに発見された中で最も高度で完成された攻撃ツールの1つ」と評し、DuquやStuxnetと同じ「スーパーサイバー兵器」の部類に属すると分析している。

　出現したのは2010年3月ごろとみられるが、その複雑さと攻撃の性質が原因となって、これまでセキュリティソフトによる検出を免れてきたという。攻撃は現在も進行中で、ITUは142カ国で構成するネットワークのITU-IMPACTを通じ、各国の政府に警戒を呼びかける方針だという。

　これに関連してイランの国家コンピュータセキュリティ対策機関MAHERも同日、StuxnetとDuquに続く新手のマルウェア攻撃に関する調査結果を発表した。同国はこの攻撃をコードネーム「Flamer」と命名。攻撃に使われているマルウェアは、ウイルス対策ソフト43製品を使ったテストではいずれも検出できず、MAHERで検出と削除のためのツールを開発したとしている。

　同マルウェアの特徴としては、リムーバブルメディアやローカルネットワークを使った感染経路、パスワードやスクリーンショットなどの情報を盗んだり、感染システムのマイクを使って周辺の音声を録画するといった機能などを挙げており、Kasperskyの分析とほぼ一致する。OSはWindows XP、Vista、7に感染するという。

　MAHERはさらに、イラン国内で大量のデータが消失した事件は、このマルウェアが原因だった可能性があると指摘している。