Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Response

W32.Stuxnet - よく寄せられる質問

Created: 16 Jul 2010 11:58:53 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

更新: 感染に関して以下に示す図は、シマンテック製品で遠隔測定データを使用して生成したものであるため、シマンテック製品が多数インストールされている国または地域の傾向がより大きく反映されています。W32.Stuxnet のコマンド & コントロールサーバーに直接向かうトラフィックから生成された、感染に関する総合的かつ最新の図については、7 月 23 日のブログまたは W32.Stuxnet のホワイトペーパーを参照してください。

最近、「Tmphider」または「Stuxnet」と呼ばれる新しいルートキットによる脅威に関するお問い合わせをいくつかいただいています。これは、最近見つかった脅威で、興味深い特徴がいくつかありますが、その中でも、USB ドライブを介して拡散するという以前には見られなかった手法を用いることで、かなり注目されています。シマンテックでは、いただいたお問い合わせの一部に最新の回答を付けてまとめました。この脅威の分析は現在も続いており、必要に応じてこのブログを更新し、追加情報をお知らせしていく予定です。

問)この脅威に対する保護は利用できますか。

答)はい、シマンテックではこの脅威を 7 月 13 日に検出対象として追加しています。これは W32.Stuxnet として検出され、詳細はこちらで参照することができます。

問)この脅威に関係するファイルが複数あると聞きました。詳しい情報を教えてください。

答)おっしゃるとおり、この脅威には複数のファイルが関係しています。脅威のインストーラとルートキットのコンポーネントがそうですが、いずれも W32.Stuxnet として検出されます。これらのコンポーネントのファイル名を以下に示します。

  • ~WTR4141.tmp
  • ~WTR4132.tmp
  • Mrxcls.sys
  • Mrxnet.sys

さらに、この脅威に付随して、ショートカット/リンクファイルがシステムに作成されます。以下に例を示します。

  • Copy of Shortcut to.lnk(コピー~へのショートカット.lnk)
  • Copy of Copy of Shortcut to.lnk(コピー~コピー~へのショートカット.lnk)
  • Copy of Copy of Copy of Shortcut to.lnk(コピー~コピー~コピー~へのショートカット.lnk)
  • Copy of Copy of Copy of Copy of Shortcut to.lnk(コピー~コピー~コピー~コピー~へのショートカット.lnk)

問)この脅威の標的になるのはどのようなコンピュータですか。

答)分析を続けているうちに、この脅威に遭遇するコンピュータの大部分が東南アジアに存在していることがわかりました。この脅威が出現している国または地域の内訳を以下に示します。

「OTHERS(その他)」カテゴリには 50 を超える国または地域が含まれますが、それらの国や地域では、この脅威の出現件数は極めて少ないようです。

問)この脅威は、パッチが適用されていない(ゼロデイの)新しい脆弱性を利用しますか。

答)この脅威は確かに、以前は見られなかった脆弱性を利用し、リムーバブルドライブを通じて拡散します。Microsoft はこの脆弱性を確認しており、この問題のセキュリティアドバイザリを公表しています。

問)この攻撃に遭遇している OS プラットフォームは判明していますか。

答)シマンテックが現場で得たデータは、複数のバージョンの Windows でこの悪質なファイルが検出されていることを示しています。ただし、すべてのバージョンがこの攻撃に対して脆弱であるというわけではありません。以下に内訳を示します。

問)この脅威にルートキットは含まれていますか。また、何を隠すルートキットでしょうか。

答)はい、次の 2 種類のファイルを隠すために使用されるルートキットコンポーネントが含まれています。

  1. 「.lnk」で終わるすべてのファイル
  2. 「~WTR」で始まり、「.tmp」で終わるファイル

この脅威には、ユーザーモードとカーネルモードで利用されるルートキットがあります。前述の「.sys」ファイルはカーネルモードで利用され、「.tmp」ファイルはこうしたファイルを隠すためにユーザーモードで利用されます。

これは、システムが感染すると、USB ドライブにコピーされたファイルが見えなくなることを意味しています。見えなくなるのはルートキットによって隠されてしまうためですが、それでもシマンテック製品はそのファイルを検出します。

問)この脅威の影響を教えてください。

答)前述のリンクファイルは、この脅威の一部であり、~WTR4132.tmp をロードする ~WTR4141.tmp をロードするために使用されます。この脅威にはさまざまな機能があります。こうした機能の分析は現在も継続中ですが、現時点で確認できているのは、この脅威が、SCADA システムにアクセスするために Siemens 製の「Step 7」という製品のいくつかの DLL を使用していることです。この脅威はある決まったユーザー名とパスワードを使用して、SCADA システムに関連付けられているデータベースにアクセスしてファイルを取得し、さまざまな問い合わせを実行して情報を収集します。また、サーバーやネットワーク構成に関するその他の情報を収集する可能性もあります。

問)この攻撃で使用される .lnk ファイルは検出できますか。

答)はい、シマンテックはこの攻撃で使用される .lnk ファイルを検出するシグネチャセットをリリースしております。この .lnk ファイルは、2010 年 7 月 16 日の Rapid Release 定義リビジョン 0.35 以降、W32.Stuxnet!lnk として検出されます。

問)自動再生をオフにすると、この脅威から保護されますか。

答)いいえ。残念ながら、このワームは、Windows エクスプローラが .lnk ファイルを処理する方法から新たに知られるところとなった、パッチ未適用の脆弱性を悪用します。この方法は自動再生とは無関係なので、自動再生をオフにしたところでこの攻撃による侵害を防ぐことはできません。とはいえ、自動再生をオフにするのは一般的には有効です。

詳しい情報は、入りしだいお伝えする予定です。

--------------------

更新: 脅威の名前を W32.Temphid から W32.Stuxnet に変更しました。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。