2011 年 10 月 14 日、シマンテックは国際的に強いつながりを持つある研究所から、Stuxnet に酷似したサンプルに関する警告を受け取りました。「~DQ」という接頭辞の付いたファイルが作成されることから、同研究所ではこの脅威を「Duqu(デュークー)」と命名しています。ヨーロッパにあるコンピュータシステムから復元したサンプルのほか、初期段階で判明した結果の詳しいレポートも、同研究所から提供していただきました。これには Duqu と Stuxnet を比較した解析結果も含まれており、シマンテックでもその結果を確認することができました。Duqu の一部は Stuxnet とほぼ同一ですが、目的はまったく異なっています。
Duqu は本質的に、Stuxnet に類した攻撃が将来的に発生する前兆と言えます。Duqu は Stuxnet と同じ作成者(もしくは Stuxnet のソースコードにアクセスできる何者か)によって作成されており、最新の Stuxnet ファイルが検出された後で作成されたと考えられます。Duqu の目的は、産業用制御システムメーカーなどの組織から機密データや資産を収集し、別の組織に対する将来的な攻撃を容易にすることにあります。攻撃者は、産業用制御施設に対する攻撃の実施に役立つ設計文書のような情報を探しています。
Duqu には産業用制御システムに関係するコードは含まれておらず、基本的にはリモートアクセス型のトロイの木馬(RAT)です。自己複製の機能もありません。シマンテックの遠隔計測によると、Duqu は限られた少数の組織から特定の資産を取得しようとする高度な標的型攻撃です。しかし、まだ検出されていない亜種を使った類似の方法で、他の組織に対しても攻撃がしかけられている可能性は否定できません。
攻撃者は Duqu を使って、キーストロークを記録したり、他のシステム情報を取得したりする機能を持つ別の Infostealer をインストールします。攻撃者が探していたのは、今後の攻撃に利用できる資産です。機密データを盗み出すことに成功しなかったと考えられるケースもありますが、すべてのケースが詳しく判明したわけではありません。2 つの亜種が復元されており、提供されたサンプルのアーカイブを再確認したところ、そのうち 1 つのバイナリが初めて記録されたのは 2011 年 9 月 1 日でした。ただし、ファイルのコンパイル時刻から判断すると、この亜種を使った攻撃は 2010 年 12 月の時点ですでに実行されていた可能性もあります。
亜種の 1 つのドライバファイルは、有効なデジタル証明書で署名されており、その有効期限は 2012 年 8 月 2 日です。このデジタル証明書の所有者は、台湾の台北を本拠とする企業ですが、この証明書は 2011 年 10 月 14 日に無効化されています。
Duqu は、HTTP または HTTPS を使ってコマンド & コントロール(C&C)サーバーと通信し、このサーバーは本記事の執筆時点でまだ稼働中です。攻撃者は C&C サーバーを介して追加の実行可能ファイルをダウンロードすることができ、たとえばネットワークの列挙、キーストロークの記録、システム情報の収集といった機能を実行できる Infostealer もこれに含まれています。このような情報は軽度に暗号化されて圧縮されたローカルのファイルに記録されるので、そのファイルを抽出する必要があります。
Duqu は独自の C&C プロトコルを使い、主として JPG と見なされるファイルのダウンロードとアップロードを行いますが、ダミーの JPG ファイルを転送するだけでなく、抽出に必要な追加データも暗号化して送受信されます。また、Duqu は 36 日間動作するように設定されており、36 日が経過すると自動的にシステムから自身を削除します。
Duqu は大部分のコードを Stuxnet と共有していますが、ペイロードは完全に別物です。産業用制御システムの妨害を目的としたペイロードではなく、汎用的なリモートアクセス機能に変わっているのです。Duqu の作成者は、Stuxnet のバイナリだけではなくソースコードにもアクセスしていました。攻撃者はこの機能を使って民間企業から情報を集め、別の標的に対する攻撃でいずれ利用しようとしています。まだ疑問は残っていますが、類似の前身となるファイルは Stuxnet 攻撃より前には見つかっていません。
さらに詳しい内容は、こちら(英語)でお読みいただけます。このサンプルを最初に発見した研究所から、最初のレポートをこの付録として公開する許可をいただきました。今後数日のうちに、さらに詳しい更新情報をお届けできる予定です。
要点:
• Stuxnet のソースコードを使う実行可能ファイルが発見された。これらは、最新の Stuxnet ファイルが検出された後で作成されたと考えられる。
• 実行可能ファイルは、キーストロークやシステム情報などを取得するように設計されている。
• 最新の解析から、産業用制御システムに関係するコード、悪用、自己複製の機能は確認されていない。
• 実行可能ファイルが見つかったのはごく少数の組織で、産業用制御システムのメーカーも含まれている。
• 抽出されたデータは、Stuxnet と類似した今後の攻撃に利用される可能性がある。
備考: この記事の入稿時点で、シマンテックはヨーロッパの別の組織からも新たな亜種を復元し、そのコンパイル時刻は 2011 年 10 月 17 日でした。これらの亜種の解析はまだ進んでいません。詳報は追ってお知らせします。
更新情報(2011 年 10 月 18 日) - W32.Duqu に関連するマルウェアファイルの一部が、シマンテックのお客様向けに発行されているコードサイニング証明書に関連付けられた秘密鍵で署名されていたことが確認されました。シマンテックは、2011 年 10 月 14 日付で該当のお客様向け証明書を無効化しました。この秘密鍵の利用状況を調査したところ、Duqu の署名に使われた秘密鍵は盗まれたものであり、このマルウェアのために不正に生成されたものではないことが判明しています。シマンテックのルート証明書や中間 CA 証明書はいかなる時点でもリスクにさらされたことはなく、また CA、中間証明書、VeriSign および Thawte ブランドのその他の証明書に問題が生じたこともありません。シマンテックの調査の結果、シマンテックのシステムがリスクにさらされた形跡はありません。当該証明書は、台湾の正規のお客様に対してシマンテックが正規のプロセスに従って認証および発行したものです。
更新情報(2011 年 10 月 19 日) - 本文中のホワイトペーパーへのリンクを更新しました。また、シマンテックの認証チームが、Duqu での秘密鍵の使われ方について調査を行った結果をブログ(英語)にまとめていますので、ご参照ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。