新型マルウェア「Duqu 2.0」出現、Kaspersky社内で見つかる
国家の関与が疑われるマルウェア「Duqu 2.0」は、Kasperskyのセキュリティ技術やイランの核開発協議に対するスパイ活動に使われていたことが分かった
Kaspersky Labは6月10日、国家の関与が疑われる極めて高度なマルウェアが、同社の社内ネットワークから見つかったと発表した。イランの核開発計画に関する国際協議参加国に対するスパイ活動にも使われていたと伝えている。
Kasperskyはこのマルウェアを「Duqu 2.0」と命名。かつてイランの核開発監視に使われたともいわれる高度なマルウェア「Duqu」が新しいプラットフォームとして再浮上したものと見ている。Duqu 2.0は複数のゼロデイの脆弱性を悪用し、複雑な仕組みを実装していて検出は極めて困難だという。
これほどのマルウェアの開発とメンテナンスには莫大なコストがかかるはずであり、その思考はこれまでに出現したマルウェアより1世代先を行っているとKasperskyは指摘、「国家が関与しているのはまず間違いない」と断言した。
Duqu 2.0はKasperskyのネットワークに侵入して、同社が開発しているAPT対策などのセキュリティ技術に対するスパイ活動を試みていたことも分かったという。ただし、同社の製品やサービスが侵害されたわけではなく、ユーザーにリスクが及ぶことはないと強調している。
さらに、2014年秋に開かれたイランの核開発計画に関する国際協議の参加者や、ナチス・ドイツのアウシュビッツ強制収容所解放70年記念行事などもDuqu 2.0のスパイ活動の標的になっていたとされる。
、各国での捜査はまだ続いており、「攻撃はもっと広範に及んでいて、各国のトップ級が標的にされているのは間違いない」とKasperskyは推測する。しかし同社がDuqu 2.0の存在を暴露したことを受けて、攻撃者が感染先のネットワークで発見されるのを防ぐために、自分たちの存在を抹消した可能性も大きいと指摘した。
Kasperskyは、Duqu 2.0への関与が疑われる国家の名指しは避けるとしながらも、「政府によるITセキュリティ企業に対する攻撃は言語道断。我々は責任ある国家と同じ側に立ち、安全でセキュアなサイバー世界という目標を共有しているはず」と強調している。
攻撃に使われたWindowsのゼロデイの脆弱性についてはMicrosoftに報告した。Microsoftは6月9日に公開したセキュリティ更新プログラム「MS15-061」でこの脆弱性を修正している。
関連記事
- Stuxnetに酷似のマルウェア「Duqu」が出現、産業インフラ狙いの攻撃再来か
Stuxnetと同じソースコードを使った新手のマルウェア「Duqu」が出現した。「いずれStuxnetのような攻撃が発生する前兆」とSymantecは予想する。 - 極めて高度なスパイ型マルウェア「Regin」出現、国家が関与か?
Reginは政府や個人などに対するスパイ活動に使われているといい、「国家によって使われている主要なサイバースパイツールの1つだ」とSymantecは指摘する。 - エネルギー業界を狙う精巧なサイバースパイ攻撃見つかる、国家が関与か
攻撃は極めて高度なマルウェアやrootkitで構成され、Kaspersky Labは「現時点で最先端級の脅威」と位置付ける。 - Stuxnet級の高度なマルウェア出現、サイバー兵器に使用か
国家の施設を標的とする極めて高度なマルウェア「Flame」が見つかった。Kaspersky Labでは、DuquやStuxnetと同じ「スーパーサイバー兵器」の部類に属すると分析している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.