11月2日、シマンテックは新種のマルウェア「Duqu」の最新情報を発表した。
今回発見されたDuqu感染の仕組み
Duquは、イランのウラン濃縮施設などを狙ったことで有名な「Stuxnet」に似た手法を使うという標的型マルウェア。これまで、感染は発見されていたがインストーラーは見つかっておらず、最初にシステムに感染した際の手法が判明していなかった。
シマンテックによれば、「CrySyS(ブダペスト工科経済大学の電気通信部門に所属するLaboratory of Cryptography and System Security)」の分析により、Duquが未知のゼロデイ脆弱性を利用していることを確認したという。このインストーラーファイルはマイクロソフトのWord文書(.doc)で、まだ知られていないWindowsカーネルの脆弱性を悪用することでコードの実行を行なう。
この脆弱性はマイクロソフトに連絡済みであり、マイクロソフトではパッチとアドバイザリを公開するように鋭意対応中だという。なお、シマンテックでは、今回見つかったのはインストール方法の1つで、別の組織に対する攻撃には別の手法が使われていた可能性もあるとしている。
シマンテックによれば、Duquの感染は8カ国で確認されており、対象は6つの組織であると考えられているという。この組織とは、
- 組織A:フランス、オランダ、スイス、ウクライナ
- 組織B:インド
- 組織C:イラン
- 組織D:イラン
- 組織E:スーダン
- 組織F:-ベトナム
だが、ISPまでしかトレースできない組織もあるので、重複の可能性もある。さらに、IPアドレスごとのグループ化もあるため、組織を確実に特定することはできないという。
