2010 年 7 月、史上最も高度な機能を持ったマルウェア、Stuxnet の活動が確認されました。Stuxnet はきわめて複雑なマルウェアで、解析に何カ月もかかったうえに、最終的なペイロードはサイバー脅威の能力水準を著しく引き上げるものでした。Stuxnet によって、サイバー世界で活動する悪質なプログラムが、国家の基幹インフラにまで影響を及ぼしうることが明らかになったのです。Stuxnet の最も古い亜種としては、2009 年に作成されたバージョン 1.001 の存在が判明していましたが、今回それよりも古いものが見つかりました。
最近シマンテックセキュリティレスポンスが解析した Stuxnet のサンプルは、バージョン 1.001 よりも古いものです。コードを解析した結果、これはバージョン 0.5 というべきもので、2007 年から 2009 年の間に活動していたことが判明したうえ、このバージョンもしくはさらに古い亜種が、早くも 2005 年には活動していた形跡も見つかりました。
Stuxnet 0.5 の解析から判明した主な点は以下のとおりです。
バージョン 1.x と同様、Stuxnet 0.5 もきわめて複雑で高度なマルウェアであり、作成するには同じように高い技術力と労力が必要です。
また、出現してからかなりの時間が経過し、停止日が確認されているにもかかわらず、少数とは言え潜伏感染(Step 7 のプロジェクトファイルで見つかった Stuxnet 0.5)がいまだに世界中で検出されています。
図 1. 過去 1 年間に検出された潜伏感染
Stuxnet 0.5 はイランのナタンズにあるウラン濃縮施設に対してサボタージュ攻撃を試みましたが、次のビデオではその攻撃の仕組みをご覧いただけます。
Stuxnet 0.5 の主な特徴について詳しくは、以下のブログとテクニカルホワイトペーパーを参照してください。
Stuxnet 0.5 について詳しくは、シマンテックのホワイトペーパー(英語)をご覧ください。
遠心分離方式のウラン濃縮システムについては、ISIS(Institute for Science and International Security)から継続的に情報をご提供いただきました。ここに感謝の意を表します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。