LNK脆弱性悪用のStuxnetワームとイランでの高い感染率 | ScanNetSecurity
2026.05.23(土)

LNK脆弱性悪用のStuxnetワームとイランでの高い感染率

7月14日に登場したWindowsのLNKショートカットファイルのゼロディ脆弱性を悪用するワーム「Stuxnet」ですが、今週8月2日にLNK脆弱性へのパッチがマイクロソフトから提供されたことで、事態はある程度良い方へ進展することが期待されるとはいえ、同時にZeusボットネットや

特集 特集
20 views
facebookLINE
7月14日に登場したWindowsのLNKショートカットファイルのゼロディ脆弱性を悪用するワーム「Stuxnet」ですが、今週8月2日にLNK脆弱性へのパッチがマイクロソフトから提供されたことで、事態はある程度良い方へ進展することが期待されるとはいえ、同時にZeusボットネットやChymine、Vobfus、SalityなどのマルウェアがLNK脆弱性を取り込む動きがあったことは、まだこの問題が収束しきっていないことを示していると思われます。

このStuxnetワームがターゲットにしているのはWindows上で動くSCADAシステムのマネジメントソフトウェアであるドイツのSimens社製の「Simatic WinCC」だという点については既に報じられていますが、7月22日のSymantec社のブログに興味深いレポートが上がっています。SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かうトラフィックをリダイレクトしてワームが通信することを防ぐ作業を行っていましたが、7月22日までの72時間そのトラフィックを観測したところ約14000のIPアドレスがあり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンから発信されていることを発見しました。

Stuxnetワームは、USBデバイスに潜み、WindowsOSのPCに挿し込まれるとスキャンを開始、他のUSBデバイスを探して自身をコピー試み、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、ワームが重点的に撒かれたのがイラン国内であろうという可能性を意味します。

なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開していると発表されています。これらから見て、Stuxnetワームは、イランに敷設されたインフラへの直接的妨害、あるいはイランとのビジネスを続けているSiemensに対しての何らかの意図的妨害または警告と考えることもできます。

それでは、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動しています。すると、国際情勢に絡んでいきなり複雑な様相になり、よくあるマルウェアとは違って犯罪組織が開発したものではない可能性が多数浮上してしまいます。

イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して長らく貿易禁止措置を行っています。またイランのすぐ隣に位置するトルコも、イランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業によるものという可能性も有ると言えるでしょう。真相は見えないままですが、今回のStuxnetワームはサイバー冷戦の幕開けを象徴するものなのかも知れません。


「W32.Stuxnet ― Network Information」 Symantec Blogs
http://www.symantec.com/connect/blogs/w32stuxnet-network-information

「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal
http://online.wsj.com/article/SB123379548035950207.html

「Iran was prime target of SCADA worm」 by Robert McMillan, Computer World
http://www.computerworld.com/s/article/9179618/Iran_was_prime_target_of_SCADA_worm

「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」
http://blog.f-secure.jp/archives/50429825.html


【執筆】
Gohsuke Takama

メタアソシエイツ
http://www.meta-associates.com/

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  2. ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

    ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

  3. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  4. カー用品店「ジェームス」に不正アクセス、会員情報が漏えいした可能性

    カー用品店「ジェームス」に不正アクセス、会員情報が漏えいした可能性

  5. イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

    イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP