LNK脆弱性悪用のStuxnetワームとイランでの高い感染率 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

LNK脆弱性悪用のStuxnetワームとイランでの高い感染率

特集 特集

7月14日に登場したWindowsのLNKショートカットファイルのゼロディ脆弱性を悪用するワーム「Stuxnet」ですが、今週8月2日にLNK脆弱性へのパッチがマイクロソフトから提供されたことで、事態はある程度良い方へ進展することが期待されるとはいえ、同時にZeusボットネットやChymine、Vobfus、SalityなどのマルウェアがLNK脆弱性を取り込む動きがあったことは、まだこの問題が収束しきっていないことを示していると思われます。

このStuxnetワームがターゲットにしているのはWindows上で動くSCADAシステムのマネジメントソフトウェアであるドイツのSimens社製の「Simatic WinCC」だという点については既に報じられていますが、7月22日のSymantec社のブログに興味深いレポートが上がっています。SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かうトラフィックをリダイレクトしてワームが通信することを防ぐ作業を行っていましたが、7月22日までの72時間そのトラフィックを観測したところ約14000のIPアドレスがあり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンから発信されていることを発見しました。

Stuxnetワームは、USBデバイスに潜み、WindowsOSのPCに挿し込まれるとスキャンを開始、他のUSBデバイスを探して自身をコピー試み、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、ワームが重点的に撒かれたのがイラン国内であろうという可能性を意味します。

なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開していると発表されています。これらから見て、Stuxnetワームは、イランに敷設されたインフラへの直接的妨害、あるいはイランとのビジネスを続けているSiemensに対しての何らかの意図的妨害または警告と考えることもできます。

それでは、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動しています。すると、国際情勢に絡んでいきなり複雑な様相になり、よくあるマルウェアとは違って犯罪組織が開発したものではない可能性が多数浮上してしまいます。

イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して長らく貿易禁止措置を行っています。またイランのすぐ隣に位置するトルコも、イランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業によるものという可能性も有ると言えるでしょう。真相は見えないままですが、今回のStuxnetワームはサイバー冷戦の幕開けを象徴するものなのかも知れません。


「W32.Stuxnet ― Network Information」 Symantec Blogs
http://www.symantec.com/connect/blogs/w32stuxnet-network-information

「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal
http://online.wsj.com/article/SB123379548035950207.html

「Iran was prime target of SCADA worm」 by Robert McMillan, Computer World
http://www.computerworld.com/s/article/9179618/Iran_was_prime_target_of_SCADA_worm

「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」
http://blog.f-secure.jp/archives/50429825.html


【執筆】
Gohsuke Takama

メタアソシエイツ
http://www.meta-associates.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×