2012年7月3日火曜日

Win32/Flamer : 21世紀のWhaleウイルス

  • このエントリーをはてなブックマークに追加
Win32/Flamerは不正プログラムというだけではなく、非常に複雑で圧倒されるほど大規模なものです。

この脅威に関するニュースや憶測も広範で複雑です。特に政治的にデリケートなエリアにとっては驚異であり、非常に注目されています。

不正プログラムの“検出”をめぐる矛盾する推測と混乱が、事態を困惑させているのです。

イラン国立コンピュータ緊急対応センターによると5月上旬に不正プログラムを検出(削除ではなく)したことになっていますが、カスペルスキーは2012年3月以降だったと主張しています。


ESS検出:ESETセキュリティブログ

ブダペストにある暗号化とシステムのセキュリティ研究所は、sKyWIperと呼ぶ不正プログラムと同じ程度の驚異かもしれない」と思われています(ちなみにsKyWIperは5〜8年もしくはそれ以上、感染し続けたとされています)。

しかし、不正プログラムが検出された時期についての双方の見解はどうやら誤っている様子です。おそらく何らかの方法で研究者を妨げるために日付が操られたのです。

それにも関わらず、ブダペストの研究所では見落としてはならない、いくつかの興味深い初期分析をしています。

混乱させるつもりはありませんが、不正プログラムは中東/西アジア(イスラエルを含む)だけではなく、東欧(特にハンガリーとオーストリア)さらに香港にまで報告されていることが私にとって興味深く思えるのです。

実際に特定の国をターゲットにしているかどうかは明確ではありません。不正プログラム「Stuxnet」はイランを標的とされていると最終的に判明しましたが、もともと非常に広範囲にわたって検出されていました。FlamerがStuxnetとDuquに何らかの方法でリンクされる推測されていますが、大部分のコードが異なるので思慮深いというのが本音です。

おそらく最も興味深い特徴は、たとえ多くのソフトウェアベンダー(特にアメリカに本部を置く)は法的にイランと取引することができないとしても、イラン国立コンピュータ緊急対応センターがサンプルをセキュリティベンダーと共有すると申し出たということです(異様ですが、これらの悪意のある不正プログラムは、マイクロソフトがイランに輸出することができないオペレーティングシステム上で、イラン国内で動作しているのです)。

この規制は地域外にいるセキュリティベンダーによる不正プログラムの最初の発見を妨げたかもしれません。しかし、サンプルは第2のソースを通して少しずつ行き渡りました。


今回のエピソードは、1990年に起こったWhaleウイルスに関する興奮を思い起こさせました。

あれは多くの詳細分析を引きつけた、非常に大きく複雑で重く装甲なウイルスでした。A・ソロモンは後に「分析より1つ1つの発見について書くことが大切だ」と述べています。

当時、研究者は今より自由に使える時間があったと思います。異なる点はあるかと思いますが、Whaleは興味深い技術の配列だったため意義深いものでしたが、不正ソフトとしてはあまり機能的ではありませんでした。

しかしFlamerに関しては、すでに広範囲に渡って発見されているにしても、無視できないほど驚異的なのです。その点でStuxnetに近い不正プログラムです。Flamerの背後に誰がいるのかハッキリしない限り我々が安心することはできないのです。


出典:blog.eset.com
ESETロゴ:ESETセキュリティブログ
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る