ウイルス「Duqu」がWordのゼロデイ脆弱性を使用していたことが判明


Duquの感染プロセス

 米Symantecは、10月に発見されたウイルス「Duqu」が、Wordの未修正の脆弱性(ゼロデイ脆弱性)を悪用していることが確認できたと報告した。

 「Duqu」は、2010年春ごろに発見されたウイルス「Stuxnet」に類似する新たなウイルスとして、セキュリティベンダー各社が警戒を呼びかけているウイルス。Stuxnetは、複数のゼロデイ脆弱性を悪用して感染を試み、発電所など社会インフラに関するシステムを標的するなど、高度で複雑な標的型攻撃を行うことで注目を集めた。

 Duquがどのようにしてシステムに感染するのかはこれまで判明していなかったが、Duquのサンプルを初めて発見した、ハンガリーのブダペスト工科経済大学内の組織「Laboratory of Cryptography and System Security」がDuquのインストーラーを復元。感染メカニズムを明らかにした。

 調査の結果、DuquはWord文書に含まれるゼロデイ脆弱性を悪用することで、システムに感染することが判明。Word文書は意図した送信先の組織のみを限定的に標的とするように作成されており、8月の8日間だけDuquがインストールされるようになっていたという。ただし、このインストーラーは現時点で復元している唯一のもので、その他の組織では別の手口が使われた可能性があるとしている。

 Duquに感染したマシンは、攻撃者の指示により他のマシンへの感染活動を開始し、ある組織の例ではファイル共有を介してDuquを拡散するように命令していた証拠が見つかっている。さらに、感染したマシンがインターネットに接続できない場合には、司令サーバー(C&Cサーバー)に接続可能なマシンを経由して通信を行うようになっていたという。

 現時点で、Duquの感染は8カ国の6組織で確認。また、以前解析したサンプルは、インド国内のサーバーと通信するように設定されていたが、新たにベルギー国内のサーバーと通信するものも発見され、このサーバーについてはホスティング会社の協力により既に停止されているという。

 マイクロソフトでは、4日にこの問題に関するセキュリティアドバイザリを公開。調査が完了次第、セキュリティ更新プログラムの提供など適切な措置を講じるとしている。


関連情報


(三柳 英樹)

2011/11/4 20:29