Video Screencast Help
Security Response

Stuxnet 0.5: ミッシングリンク見つかる

Created: 27 Feb 2013 09:40:26 GMT • Translations available: English, Português, Español
Symantec Security Response's picture
0 0 Votes
Login to vote

2010 年 7 月、史上最も高度な機能を持ったマルウェア、Stuxnet の活動が確認されました。Stuxnet はきわめて複雑なマルウェアで、解析に何カ月もかかったうえに、最終的なペイロードはサイバー脅威の能力水準を著しく引き上げるものでした。Stuxnet によって、サイバー世界で活動する悪質なプログラムが、国家の基幹インフラにまで影響を及ぼしうることが明らかになったのです。Stuxnet の最も古い亜種としては、2009 年に作成されたバージョン 1.001 の存在が判明していましたが、今回それよりも古いものが見つかりました。

最近シマンテックセキュリティレスポンスが解析した Stuxnet のサンプルは、バージョン 1.001 よりも古いものです。コードを解析した結果、これはバージョン 0.5 というべきもので、2007 年から 2009 年の間に活動していたことが判明したうえ、このバージョンもしくはさらに古い亜種が、早くも 2005 年には活動していた形跡も見つかりました。

Stuxnet 0.5 の解析から判明した主な点は以下のとおりです。

  • これまでで最も古い Stuxnet の亜種が見つかった。
  • これは Flamer プラットフォームを使って作成された。
  • USB キーを含む Step 7 プロジェクトへの感染で拡散した。
  • 拡散は 2009 年 7 月 4 日に停止している。
  • Microsoft 製品の脆弱性は悪用されていない。
  • Stuxnet バージョン 1.x では不完全だった、Siemens 417 PLC を攻撃するペイロードが完全に機能する。

バージョン 1.x と同様、Stuxnet 0.5 もきわめて複雑で高度なマルウェアであり、作成するには同じように高い技術力と労力が必要です。

また、出現してからかなりの時間が経過し、停止日が確認されているにもかかわらず、少数とは言え潜伏感染(Step 7 のプロジェクトファイルで見つかった Stuxnet 0.5)がいまだに世界中で検出されています。
 

図 1. 過去 1 年間に検出された潜伏感染
 

Stuxnet 0.5 はイランのナタンズにあるウラン濃縮施設に対してサボタージュ攻撃を試みましたが、次のビデオではその攻撃の仕組みをご覧いただけます。
 

Default Chromeless Player

 

Stuxnet 0.5 の主な特徴について詳しくは、以下のブログとテクニカルホワイトペーパーを参照してください。

Stuxnet 0.5 について詳しくは、シマンテックのホワイトペーパー(英語)をご覧ください。
 


 

遠心分離方式のウラン濃縮システムについては、ISIS(Institute for Science and International Security)から継続的に情報をご提供いただきました。ここに感謝の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。