Duqu の発見について報告した最初のブログ記事は、私が執筆を担当しました。その際に「産業用制御システムメーカー(industrial control system manufacturers)」という言葉を使いましたが、多くの関係者と協議した結果、Duqu が発見された業種をより正確に定義するために、「製造産業メーカー(industrial industry manufacturers)」という用語に変えようと思います。ホワイトペーパーではすでにこの用語に変更しています。
適切な用語を見つけるのは、ときに困難を伴います。Stuxnet に関する最初の記事を書いたときにも、当初は SCADA(Supervisory Control and Data Acquisition)という用語を使いましたが、その後すぐに、「産業用制御システム」としたほうが適切であると判明しました。コンピュータセキュリティ産業では、「ウイルス」、「ワーム」、「トロイの木馬」のそれぞれに具体的な定義がありますが、一般のユーザーはどんなマルウェアも単に「ウイルス」としか呼びません(まったくの偶然ながら、シマンテックは Duqu をトロイの木馬ではなくワームであると誤って判定し、その後修正しました。今のところ自己複製の機能は見つかっていないためです)。
もちろん、用語を「製造産業メーカー」に変えたところで、シマンテックが危険と考えている組織にとっての脅威が変わるわけではありません。Duqu には多数の亜種が見つかっていますが、その標的はまだ判明していません。
Stuxnet がたどった経緯や Duqu も同じ攻撃者であるという可能性、そして現在までに知られている標的を考えあわせると、産業用制御システムメーカーも、産業施設にソリューションを供給しているあらゆる企業も、ネットワークで Duqu の監視を怠るべきではありません。現在までに検出されたどの亜種でも、ネットワークが Duqu に感染したかどうかの指標としては、コマンド & コントロールの IP が有効です。
また、標的としては製造産業だけが狙われているわけではありません。製造産業以外にも、今後の攻撃を助長しそうな資産を提供している業種が確認されています。
シマンテックでは、さらに詳しいことがわかりしだい、更新情報をお伝えする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。