トレンドマイクロは、2012年5月30日、情報収集機能を備えた「Flame」に対する注意喚起を行い、継続して解析を行い情報を更新していくことを前ブログで報告しました。本投稿では、この脅威についての最新情報およびトレンドマイクロの製品をご利用のお客様が行うべき対応方法、そして今までの解析結果についてをお知らせします。まず端的に言うと、Flame はとても特徴的な不正プログラムであり、一般的な脅威ではありません。
トレンドマイクロでは、数日前から、Flame を Noteworthy(要注意)としてきました。その理由として、この不正プログラムの備える性質や、極めて限定された特定の標的を狙っているようであることが挙げられます。そのため広い意味で捉えると Flame は、現時点では一般ユーザに対して大きな影響を与える脅威ではないかもしれません。また、弊社クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からの情報やお客様との連携から、実際の感染数は非常に低く、中東およびアフリカ地域に限定していることが確認されています。
さらに、弊社製品をご利用のお客様においては、Flame からの脅威は少ないと言えます。それは、現在の対応パターン(「WORM_FLAMER.A」およびこのワームの環境設定ファイルである「TROJ_FLAMER.CFG」を検出)、そして確認したコマンド&コントロール(C&C)サーバ情報を基に不正な URL への接続をブロックする技術によって今回の事例に関連する攻撃から守られているからです。
トレンドマイクロでは、お客様を保護することに焦点を当て解析に取り組んでいます。現在進行中の解析では、さらなる C&Cサーバの特定に注力しています。これは C&Cサーバは世界中に分散しており、所在地の変更が可能であるからです。また興味深いことに、この C&Cサーバは主としてヨーロッパやアジアに存在していることか判明しています。
この不正プログラム自体は、情報収集を目的としており、さらにファイルサイズが大きく、この不正プログラムの綿密な解析には時間を必要とします。今回の場合、大容量のファイルサイズは、多面的な機能を備えるためであると考えられます。この不正プログラムは、標的とするネットワークに侵入口を確保した時点で、自身の目的を遂行するためのさまざまなツールを装備させられてきました。そのなかには、2009年代にまで遡るコンポーネントも含まれています。
また、トレンドマイクロ Security Research & Communication ディレクターの Rik Ferguson が「CounterMeasures」で言及しているように、この不正プログラムは、Luaプログラミング言語で書かれているため通常の不正プログラムとは異なっています。この Luaプログラミング言語は、多くの場合ゲーム開発者がスクリプト言語として利用するものであって、不正プログラムには一般的に利用されるものではありません。
トレンドマイクロは、この不正プログラムに関連するすべてのコンポーネントを把握し、そして特に、新しく確認できた C&Cサーバの情報を基にした不正な URL への接続をブロックする技術を供給し続けるために解析を継続していきます。
Flame 自体、現在は、一般的な危険性には相当しませんが、他の攻撃者に利用され、「STUXNET(スタクスネット)」の事例のように広域攻撃のために再び利用される危険性があります。世界各国に点在するトレンドマイクロの解析調査チームは、引き続き監視を行い、Flame を確認した場合、お客様保護のためのパターンを追加し、できるだけ早く本ブログを通じて情報を更新していきます。
参考記事:
by Trend Micro
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)