プロフィール
  • プロフィール画像
  • アイコン画像 ニックネーム:mnoxpxlqgdtlls
読者になる
2010年08月
« 前の月    |    次の月 »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Yapme!一覧
読者になる
LNK脆弱性悪用のStuxnetワームとイランでの高い感染率 / 2010年08月05日(木)
7月14日に登場したWindowsのLNKショートカットファイルのゼロディ脆弱性を悪用するワーム「Stuxnet」ですが、今週8月2日にLNK脆弱性へのパッチがマイクロソフトから提供されたことで、事態はある程度良い方へ進展することが期待されるとはいえ、同時にZeusボットネットやChymine、Vobfus、SalityなどのマルウェアがLNK脆弱性を取り込む動きがあったことは、まだこの問題が収束しきっていないことを示していると思われます。

このStuxnetワームがターゲットにしているのはWindows上で動くSCADAシステムのマネジメントソフトウェアであるドイツのSimens社製の「Simatic WinCC」だという点については既に報じられていますが、7月22日のSymantec社のブログに興味深いレポートが上がっています。SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かうトラフィックをリダイレクトしてワームが通信することを防ぐ作業を行っていましたが、7月22日までの72時間そのトラフィックを観測したところ約14000のIPアドレスがあり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンから発信されていることを発見しました。

Stuxnetワームは、USBデバイスに潜み、WindowsOSのPCに挿し込まれるとスキャンを開始、他のUSBデバイスを探して自身をコピー試み、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、ワームが重点的に撒かれたのがイラン国内であろうという可能性を意味します。

なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開していると発表されています。これらから見て、Stuxnetワームは、イランに敷設されたインフラへの直接的妨害、あるいはイランとのビジネスを続けているSiemensに対しての何らかの意図的妨害または警告と考えることもできます。

【執筆】Gohsuke Takama

【8月5日10時20分配信 Scan
http://headlines.yahoo.co.jp/hl?a=20100805-00000006-scan-secu
 
   
Posted at 12:28/ この記事のURL
P R
カテゴリアーカイブ
月別アーカイブ
 
 
Powered by yaplog!