Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

W32.Stuxnet 調査詳細の改定版を公開

Created: 12 Feb 2011 09:16:06 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

シマンテックは昨年 9 月に、Nicolas Falliere、Liam O Murchu、Eric Chien の 3 名による『W32.Stuxnet Dossier(W32.Stuxnet の調査詳細)』というホワイトペーパーを発表し、その中で内容の改訂を今後も続ける予定であると述べました。

ホワイトペーパーはその後 2 回大きく改訂されたほか、小さな改訂も何度か行われています。ここではその改訂内容を簡単にご紹介します。詳しい内容は、同ホワイトペーパーをご覧ください。今回説明する改訂内容が詳細に記載されているのは、Version 1.4 以降です。

1 点目として、昨年 9 月の時点では、Stuxnet は新しい感染を引き起こすたびにタイムスタンプなどのシステム情報を自身に記録すると報告しました。しかし、当時はまだ有意義な結論を導き出せるほどの十分な数のサンプルがなかったため、この情報はほとんど役に立ちませんでした。過去数カ月の間に、シマンテックは独自にサンプルの収集を続け、また ESET、エフセキュア、カスペルスキーラブス、マイクロソフト、マカフィー、トレンドマイクロの各社からもサンプルの提供を受けて、総計 3,280 種のサンプルを手に入れました。感染例としては、およそ 12,000 件に当たります。これでも既知の感染数からすればごく一部ですが、Stuxnet の拡散方法や標的について、興味深い点がいくつもわかってきました。

• Stuxnet は 5 種類の組織を狙った標的型攻撃であった。
• 12,000 件の感染例を追跡すると、これら 5 つの組織に行き着く。
• 3 つの組織は 1 回標的となり、残る 2 つの組織はそれぞれ 2 回と 3 回標的になっている。
• 組織が攻撃を受けたのは、2009 年 6 月、2009 年 7 月、2010 年 3 月、2010 年 4 月、2010 年 5 月であった。
• 攻撃を受けた組織はすべて、イランに拠点があった。
• 3 つの亜種(2009 年 6 月型、2010 年 4 月型、2010 年 5 月型)が存在する。4 種類目も存在する可能性があるが、まだ回収されていない。

次の図は、感染のクラスタをグラフ化したものです。このグラフの解釈や、Stuxnet の拡散と感染に関して注目すべき統計情報については、ホワイトペーパーを参照してください。

2 点目として、シマンテックでは Stuxnet に 2 種類のサボタージュ戦略(それぞれ 315 コード、417 コードと呼ばれることが多い)があると報告しましたが、417 コードは無効化されました。無効化されたため、シマンテックはこのコードで意図されていた動作を公式に文書化しませんでした。しかし最近、この情報を求める声が多くなったので、ホワイトペーパーの最新版には 417 コードで意図されていた動作を記載しています。このコードは完全なものではなく、すでに無効化されているため、正確な動作や目的を明確に述べることはできませんが、このコードが 2 番目の独立した攻撃戦略であることは明らかです。

• このコードは、6 グループ 164 種類の周辺機器を対象にしている。
• 全グループの合計活動時間が 297 日以上になるか、いずれか1 グループの活動時間が 35 日以上になると、サボタージュのルーチンが開始される。
• 半ランダムに、164 種類のうち 110 の周辺機器がサボタージュを受ける。
• サボタージュのルーチンはおよそ 7 分間続く。

ただし、繰り返しますが、このコードは無効化されていることにご留意ください。

最新版のホワイトペーパーは、こちらからダウンロードできます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。