LNK脆弱性悪用のStuxnetワームとイランでの高い感染率 | ScanNetSecurity
2024.05.06(月)

LNK脆弱性悪用のStuxnetワームとイランでの高い感染率

7月14日に登場したWindowsのLNKショートカットファイルのゼロディ脆弱性を悪用するワーム「Stuxnet」ですが、今週8月2日にLNK脆弱性へのパッチがマイクロソフトから提供されたことで、事態はある程度良い方へ進展することが期待されるとはいえ、同時にZeusボットネットや

特集 特集
facebookLINE
7月14日に登場したWindowsのLNKショートカットファイルのゼロディ脆弱性を悪用するワーム「Stuxnet」ですが、今週8月2日にLNK脆弱性へのパッチがマイクロソフトから提供されたことで、事態はある程度良い方へ進展することが期待されるとはいえ、同時にZeusボットネットやChymine、Vobfus、SalityなどのマルウェアがLNK脆弱性を取り込む動きがあったことは、まだこの問題が収束しきっていないことを示していると思われます。

このStuxnetワームがターゲットにしているのはWindows上で動くSCADAシステムのマネジメントソフトウェアであるドイツのSimens社製の「Simatic WinCC」だという点については既に報じられていますが、7月22日のSymantec社のブログに興味深いレポートが上がっています。SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かうトラフィックをリダイレクトしてワームが通信することを防ぐ作業を行っていましたが、7月22日までの72時間そのトラフィックを観測したところ約14000のIPアドレスがあり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンから発信されていることを発見しました。

Stuxnetワームは、USBデバイスに潜み、WindowsOSのPCに挿し込まれるとスキャンを開始、他のUSBデバイスを探して自身をコピー試み、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、ワームが重点的に撒かれたのがイラン国内であろうという可能性を意味します。

なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開していると発表されています。これらから見て、Stuxnetワームは、イランに敷設されたインフラへの直接的妨害、あるいはイランとのビジネスを続けているSiemensに対しての何らかの意図的妨害または警告と考えることもできます。

それでは、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動しています。すると、国際情勢に絡んでいきなり複雑な様相になり、よくあるマルウェアとは違って犯罪組織が開発したものではない可能性が多数浮上してしまいます。

イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して長らく貿易禁止措置を行っています。またイランのすぐ隣に位置するトルコも、イランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業によるものという可能性も有ると言えるでしょう。真相は見えないままですが、今回のStuxnetワームはサイバー冷戦の幕開けを象徴するものなのかも知れません。


「W32.Stuxnet ― Network Information」 Symantec Blogs
http://www.symantec.com/connect/blogs/w32stuxnet-network-information

「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal
http://online.wsj.com/article/SB123379548035950207.html

「Iran was prime target of SCADA worm」 by Robert McMillan, Computer World
http://www.computerworld.com/s/article/9179618/Iran_was_prime_target_of_SCADA_worm

「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」
http://blog.f-secure.jp/archives/50429825.html


【執筆】
Gohsuke Takama

メタアソシエイツ
http://www.meta-associates.com/

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  8. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  9. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP