Stuxnetベースの新マルウェア「Duqu」とは？

2011年11月21日 06時00分更新

文● 富安洋介／エフセキュア

昨年6月に発見された「Stuxnet」は、コンピュータウイルス史上でエポックメイキングなマルウェアでした。先月、Stuxnetのソースコードを利用した新しいマルウェアが発見されました。このウイルスは「Duqu」と名付けられ、セキュリティベンダー各社で解析が進められています。今回はこのDuquがどのようなマルウェアなのかということについて解説したいと思います。

エフセキュアでのDuquのドライバの検出結果。Stuxnetに非常に似ているため、その亜種として検出している

Stuxnetはなぜエポックメイキングだったのか

　Duquを知る前に、ベースとなったStuxnetについておさらいしましょう。Stuxnetの主な特徴は、以下になります。

APT／新しいタイプの攻撃を利用している
ソースコードが長大で複雑である
本物の証明書が盗まれマルウェアのドライバに署名されていた
4種のゼロデイを含む、5種類の脆弱性を利用して感染を行う
工場の生産システムを狙った攻撃である
標的となったシステムは特定の地域で利用されている

　エフセキュアの研究所の調査結果では、Stuxnetの作成には120人月かかると見積もっています。また、脆弱性についても、作者自身が見つけたとしたら莫大な研究コストが必要になりますし、ブラックマーケットで購入したとしてもかなりの金額になります。

　ブラックマーケットは単一のリモートコードを実行するゼロデイ1つにつき、5万ドルから50万ドルで売られているといわれているので、4種類合わせて100万ドル以上かかっている可能性もあります。

Duquのファイルの1つであるjminet7.sysのプロパティ画面。Stuxnetと同様にジェイマイクロン社から盗まれた証明書が使用されている

　Stuxnetは、最終的な目標として、フィンランドの「Vacon社」とイランの「Fararo Paya社」のデバイスの操作を行なおうとしています。しかし、これらのデバイスは特定の国や地域でのみしか使われていません。

　つまり、「国家レベルの規模で開発され、特定の国・地域を狙ったマルウェアである」ということを示していると考えられます。作者は依然として不明のため、真偽は定かではないですが、サイバーテロあるいはサイバーウォーの実例である可能性が高いと考えられます。

Duquは何を狙っているのか

　Stuxnetでは工場の生産システムを標的としていましたが、Duquはどうでしょうか。Duquでは、そういった工場などの施設に関する攻撃を行なう動作は確認されていません。現在発見されているDuquでは、おもな目的は情報の収集と考えられています。

　Duquは、APT／新しいタイプの攻撃のモデルの通り、感染したPCから外部の管理サーバーへインターネット通信を行ないます。通信に成功すると、情報収集を行なうツールのダウンロードを行ない、感染したPCから以下のような情報を収集します。

動作しているプロセスのリスト
アカウントの詳細情報およびドメインの情報
共有ドライブを含む、各ドライブの名前などの情報
スクリーンショット
ネットワーク情報
キーボードの入力情報
開いているウィンドウ名称

　また、今回発見されたDuquは、36日後に停止するように設定されています（ただし、この設定は管理サーバーからの指示で延長される可能性もあります）。現状は、標的の情報収集など、諜報戦を行なっている状態といえるでしょう。もちろんDuqu自体の感染力などの性能確認という意味合いもあるかと思います。

暗号化や画像へのインプラントなども

　Duquの感染機能の特徴として、Duqu自体のファイルの暗号化があります。Duquは、おもに3つのファイルで構成されています。1つ目はドライバとして動作するローダと呼ばれるものです。2つ目はメインの感染活動行なうDLLで、3つ目は設定ファイルです。メイン感染活動を行なうDLLと設定ファイルは暗号化されています。感染したPCが起動すると、ローダがスタートアップ時に起動され、メインDLLと設定ファイルの復号。復号後のメインDLLが、実行を行なう仕組みです。

　また、前段で外部の管理サーバーへ通信を行なうことに触れましたが、その方法も特徴的です。管理サーバーにはツールのダウンロードと集めた情報の送信のために接続を行なうのですが、その際にはファイルをそのままダウンロード／アップロードを行なうのではなく、JPEGファイルの中に暗号化してから通信を行ないます。これにより、ネットワーク監視を行なっている環境でもばれないようにすることを狙っています。