• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. W32.Stuxnet
  4. W32.Stuxnet
  • ブックマーク

W32.Stuxnet

危険度2: 低

発見日:
2010 年 7 月 13 日
更新日:
2013 年 7 月 11 日 8:31:27 AM
別名:
Troj/Stuxnet-A [Sophos], W32/Stuxnet-B [Sophos], W32.Temphid [Symantec], WORM_STUXNET.A [Trend], Win32/Stuxnet.B [Computer Associates], Trojan-Dropper:W32/Stuxnet [F-Secure], Stuxnet [McAfee], W32/Stuxnet.A [Norman], Rootkit.Win32.Stuxnet.b [Kaspersky], Rootkit.Win32.Stuxnet.a [Kaspersky]
種別:
Worm
感染サイズ:
不定
影響を受けるシステム:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
CVE 識別番号:
CVE-2010-2568
W32.Stuxnet は、2010 年 7 月に最初に発見されました。シマンテックでは、当初入手した情報に基づいて W32.Temphid という検出名を付けましたが、後に、他のベンダーとの協調を図り Stuxnet という名前に変更しました。そのため、2010 年 7 月 19 日以前のウイルス定義は、この脅威を W32.Temphid として検出する可能性があります。 この脅威は、発電所などの産業施設を制御するために、産業用制御システムを標的とします。攻撃者の動機ははっきりしていません。いくつもの理由があり、産業スパイ目的である可能性が高いと思われます。(Stuxnet の裏に潜むハッカーhttp://www.symantec.com/connect/blogs/stuxnet-7) 攻撃者の正体は不明ですが、誰であるにしても高い技術力と整った設備があることは間違いないようです。これは短い期間で成し遂げられることではありません。 驚くべきことに、Stuxnet は 4 つのゼロデイ脆弱性を悪用します。詳細は「Stuxnet Using Three Additional Zero-Day Vulnerabilities (http://www.symantec.com/connect/blogs/stuxnet-using-three-additional-zero-day-vulnerabilities)」(英語) を参照してください。過去にこのような例はありませんでした。


2011 年 10 月 - W32.Duqu、新たなスタート ?

シマンテックは、Stuxnet と同じコードベースから作成された新しい脅威(W32.Duqu) の報告を受けました。 コードベースはほぼ同一で、攻撃の手法は似ていますが、この新しい脅威の目的は Stuxnet とはまったく異なるようです。Stuxnet は産業機械の破壊を主な目的として設計されているのに対し、Duqu は産業システムや他の機密情報などの情報の窃盗を目的に設計されているようです。盗み取られた情報を使用し、Stuxnet と類似したさらなる攻撃を計画して後に開始することを目的としてこの操作が実行される可能性があります。

シマンテックはこの脅威の詳細を解析し、レポートで解析結果が確認できるようにしました。
W32.Duqu: The precursor to the next Stuxnet


感染

Stuxnet は Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability(BID 41732) (英語)の脆弱性を悪用して拡散した最初のマルウェアです。このワームは、リムーバブルドライブに自分自身のコピーとそのコピーへのリンクを投下します。リムーバブルドライブがシステムに接続され、Windows エクスプローラのようなアイコンを表示できるアプリケーションで表示されると、そのリンクファイルがこのワームのコピーを実行します。Windows の設計にある欠陥により、アイコンを表示できるアプリケーションは不注意にコードを実行することができ、Stuxnet の場合は同じリムーバブルドライブ上のワームのコピーを .lnk ファイル内のコードがポイントしています。

さらに、Stuxnet は「Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)」(英語) を悪用します。この脆弱性は、Conficker として知られる W32.Downadup によって極めて巧妙に悪用されました。また、「Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)」(英語) も悪用します。

このワームは、脆弱なパスワードで保護されたネットワーク共有に自分自身をコピーすることにより拡散しようと試みます。


機能
Stuxnet の主要目的は、産業施設を制御することです。マルウェアの作成者は、これらの施設を制御するソフトウェアを実行するコンピュータだけを標的とするマルウェアを設計すると考えられます。しかし、他のさまざまなワームと同様に、この脅威は上記の脆弱性を悪用して無差別に拡散します。

歴史的データから、初期の Stuxnet ワーム攻撃は、イラン、インドネシア、インドに集中していたことがわかります。




この脅威は、2 つの異なる、そして最も重要なことですが、知名度の高い会社によって署名された正規の証明書を使用して、ウイルス対策アプリケーションによる検出を回避して、目標を達成します。コンピュータへの侵入経路を見つけて、.lnk の脆弱性を悪用した後、この脅威はシステム上の自分自身の存在を隠すためにルートキットをインストールします。

Stuxnet は、一般に SCADA システムとして知られている産業用制御システムを探し、侵入先のコンピュータでそれらのシステムが見つかった場合、コードと設計プロジェクトを盗み取ろうと試みます。また、プログラムソフトウェアのインターフェースを利用し、自身のコードを Programmable Logic Controllers (PLC) にアップロードする可能性があります。PLC は産業制御システムの「ミニコンピュータ」であり、通常はSCADA システムによって監視されています。その後、Stuxnet はそれらのコードブロックを隠し、感染したコンピュータを使用しているプログラマが PLC 上のすべてのコードブロックを表示しようと試みても、Stuxnet によって挿入されたコードは表示されないようにします。

このように、Stuxnet は Windows 上で自分自身を隠すだけでなく、PLC に存在する挿入済みのコードを隠すことを可能にした最初の公知のルートキットです。


Symantec Endpoint Protection - アプリケーションとデバイス制御
シマンテックセキュリティレスポンスは、この脅威に関連するアクティビティからコンピュータを保護するために Symantec Endpoint Protection のアプリケーションとデバイス制御 (ADC) ポリシーを開発しました。アプリケーションとデバイス制御ポリシーを利用すると、コンピュータに対する脅威の感染リスクを軽減し、不用意なデータの削除を回避し、コンピュータ上で実行するプログラムを制限することができます。

このアプリケーションとデバイス制御ポリシーは、あるコンピュータから他のコンピュータに拡散する能力を低下させたり排除することができるため、この脅威のアウトブレーク発生時の対応に利用することができます。ネットワーク内でこの脅威がアウトブレークした場合、このポリシーをダウンロードしてください。

ポリシーを使用するには、この文書 (英語) を参照して、Symantec Endpoint Protection Manager に .dat ファイルをインポートしてください。クライアントコンピュータに配布する場合は、このポリシーによる通常のネットワークおよびコンピュータ使用への影響を確認するために、最初にテスト (ログのみ) モードを使用することを推奨します。一定期間ポリシーを観察し、環境への影響を確認した後、実働モードでポリシーを配備し、アクティブ保護を有効にします。

アプリケーションとデバイス制御ポリシー、および組織内での配備方法に関する詳細については、「Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド」(PDF) を参照してください。

注意: シマンテックセキュリティレスポンスで開発されたアプリケーションとデバイス制御ポリシーは、脅威のアウトブレークに対して使用することをお勧めします。このような状況では役立ちますが、制約的な性質上、通常業務に影響を及ぼす可能性があります。


地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。






感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。



シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ
W32.Stuxnet


ウイルス対策 (ヒューリスティック/汎用)
W32.Stuxnet!lnk


侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン2010 年 7 月 13 日 リビジョン038
  • Rapid Release 最新バージョン2013 年 2 月 19 日 リビジョン016
  • Daily Certified 初回バージョン2010 年 7 月 13 日 リビジョン040
  • Daily Certified 最新バージョン2013 年 2 月 1 日 リビジョン020
  • Weekly Certified 初回リリース日2010 年 7 月 14 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:Low
  • 感染台数:0 - 49
  • 感染報告数:0 - 2
  • 地域危険度:Low
  • 対処レベル:Easy
  • 駆除:Easy

ダメージ

  • ダメージレベル:Medium
  • 秘密情報の漏洩:侵入先のコンピュータからさまざまな情報を収集する

感染力

  • 感染力レベル:Medium
  • 共有ドライブ:リムーバブルドライブを介して拡散する
  • 感染対象:リムーバブルドライブ、ネットワークドライブ、および特定の脆弱性の影響を受けるコンピュータ
記述:Jarrad Shearer
危険性の評価| テクニカルノート| 駆除方法
スパムレポート