マルウェアFlameとStuxnetに関係性見つかる、同じモジュールを共用
ITmedia エンタープライズ 6月12日(火)8時29分配信
ロシアのセキュリティ企業Kaspersky Labは6月11日、極めて高度な仕組みを持つマルウェア「Flame」について、イランの核施設などに対するインフラ攻撃で先に注目された「Stuxnet」との関係を裏付ける新たな証拠が見つかったと発表した。
Flameは、Kasperskyやイランの国家コンピュータセキュリティ対策機関によって5月下旬に存在が確認された。一方、米紙New York TimesはStuxnetについて、米国とイスラエルの政府によって開発されたものだったと報道。だが、この時点でFlameとStuxnetの関係は確認されていなかった。
しかしKasperskyによると、Flameについてさらに詳しく調べた結果、初期のFlameに組み込まれていたモジュールが、2009年バージョンのStuxnetに組み込まれていた「resource 207」というモジュールに酷似していることが判明。Stuxnetが2009年1~6月の間に作成される以前に、Flameのプラットフォームは既に存在しており、2009年のStuxnetはこのFlameプラットフォームに組み込まれていたモジュールを利用したと結論付けた。
問題のモジュールは2010年版のStuxnetからは削除され、同年以降、この2つのプラットフォームはそれぞれ独立したチームによって開発が続けられたとみられる。ただし脆弱性の悪用などに関して相互交流は続けていた様子だという。
Kasperskyが運営するニュースサービスのthreatpostはこれについて、Flameはイランの石油施設攻撃に、Stuxnetは同国のウラン濃縮施設に対する攻撃にそれぞれ使われたと伝えられていることを指摘、「それが事実だとすれば、同国内の複数の標的に対する数年がかりの大規模なサイバー攻撃作戦があったことをうかがわせる」と解説している。
業界の話題、問題、掘り出し物、ちょっとしたニュース配信中。
