シマンテックが解析を進めている W32.Stuxnet は、大手サードパーティからの正規のデジタル証明書を使い、Windows の未知のバグを利用して、最終的に SCADA システムと設計文書を検索する脅威です。Stuxnet についての解析結果は、このブログの一連の記事に順次掲載しています。 Stuxnet は、リモートにある 2 つのコマンド & コントロールサーバーにアクセスしますが、先週までそのドメインはマレーシアにホストを置くサーバーのものでした。これらのドメインの特定後、シマンテックはこの C&C サーバーからトラフィックをリダイレクトしたので、感染したコンピュータが制御されて情報を盗用されることはなくなっています。 過去 72 時間にシマンテックでは、C&C サーバーへの接続を試みる W32.Stuxnet によって 14,000 近くの一意の IP アドレスが感染していることを確認しました。次のグラフは、過去 72 時間に確認された約 14,000 の IP アドレスを国別に分類したものです。 これらの数値は、Stuxnet の活動によって実際に感染したコンピュータの数を表しています。Stuxnet が確認され、シマンテックのセキュリティ製品によって遮断されたコンピュータの数については、以前のブログで取り上げました。W32.Stuxnet が、特定の国の組織から重要なインフラストラクチャに関する文書を盗み出そうという意図で作成され、配布されていることは間違いありません。こうしたデータの背後にいる攻撃者については、すでに紹介したとおり、さまざまな意見があります。 ここで注意が必要なのは、ほとんどの大企業がネットワークの周辺部でネットワークアドレス変換(NAT)を使っているという点です。つまり、企業のコンピュータの多くは、社内ネットワークから外のサイトにアクセスするとき、1 つの IP の背後に隠れているということです。したがって、セキュリティソリューションを更新していなかった(あるいはソリューション自体がなかった)ために W32.Stuxnet に感染したコンピュータの数は、実際には 14,000 よりはるかに多いと考えるべきです。感染したホストの所在地の一部は、以下のとおりです。 また、W32.Stuxnet はデフォルトで常に IP アドレス、コンピュータ名、そして侵入したワークグループまたはドメインの名前をコマンド & コントロールサーバーに送信します。たとえば次の表のように、同じ IP アドレスを使うコンピュータは無数に存在します。 この情報を利用して、シマンテックは管轄各機関との協力態勢をとっています。当然のことですが、感染したコンピュータには、SCADA ソフトウェアとシステムを使うさまざまな組織も含まれており、それが攻撃者の標的であることは明らかです。 解析に協力してくれた Gavin O'Gorman 氏と Nicolas Falliere 氏に感謝します。 W32.Stuxnet について詳しくは、こちらをクリックしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。