Stuxnetワームの最新情報

2010/09/29

Windowsのショートカットファイルに存在する脆弱性を狙った「Stuxnet(スタクスネット)」というマルウェアが広がっています。このStuxnetには、制御システムや電力会社を狙う特徴があります。McAfee Security Insights Blogでこのワームを取り上げてから、Stuxnetに大きな注目が集まっています。今回はそのStuxnetについて、最新情報をお伝えします。

Q: Stuxnetとは何ですか。
A: Stuxnetは、シーメンス社のSCADAソフトウェアをターゲットにした、非常に複雑なワームです。この脅威は、以前は修正パッチが適用されていなかったSiemens SIMATIC WinCC/STEP 7の脆弱性(CVE-2010-2772)およびMicrosoft Windowsの4つの脆弱性を悪用しています。ただし、Windowsの4つの脆弱性のうち2つ(CVE-2010-2568、CVE-2010-2729)については、既にパッチ適用済みです。また、このワームはルートキットと盗んだ2種類のデジタル証明書を用いて自身の存在を隠蔽します。

Q: 最初に出現した時期はいつ頃で、最初に報告された場所はどこですか。
A: この脅威が発見されたのは7月ですが、リリースされたのはその1年前と考えられています。マカフィーのGlobal Threat Intelligenceのファイルレピュテーション機能では、5月からStuxnetのコンポーネントの存在を把握し、7月に広く確認される以前にも数回にわたってStuxnetが検出されています(Artemis!97FD438F25A4、Artemis!4589EF6876E9、 Artemis!CC1DB5360109)。早い時期に実施されたテレメトリーでは、感染例が中東に集中していることが判明しています。

Q: マカフィー製品の対応状況はどうなっていますか。
A: Stuxnetには、最近パッチが適用された2つの脆弱性やまだパッチが適用されていない2つの権限エスカレーションの脆弱性など、考慮するべき多くの側面があります。

Q:私のPCや環境でStuxnetと識別されたファイルが発見された場合は、私が脅威の作成者の標的にされたということですか。
A: いいえ、必ずしもそうとは限りません。それは以下のような理由によります。

  1. StuxnetはSCADAシステムをターゲットとしていましたが、以前は知られていなかったWindowsの脆弱性によって、USBデバイスなどのリムーバブルメディアを介しても感染が広がっています。そのため直接的にターゲットとされていないシステムもワームの保有者になる可能性があります。事実、マカフィーのコンシューマ向け製品の何千人ものユーザーから、本来はSiemensの産業用制御システムが動いているシステムをターゲットとしたバイナリ(すぐにメモリーにロードして実行可能なファイル)に関する報告が寄せられています。
  2. 一旦、Stuxnetの攻撃ベクトルが知られるようになると、Stuxnetとは無関係の攻撃者も同じ攻撃ベクトルを悪用し始めます。汎用の検出シグネチャはStuxnetによる当初の攻撃と部分的に一致していることがあり、その場合は後から出現した攻撃も同じStuxnetの名称で検出されます。マカフィーでは、当初のStuxnetの攻撃に使用されたバイナリを検出したシグネチャとStuxnetとは無関係の攻撃を切り離して検出していますが、他社ベンダーはこれらをすべて「Stuxnet」として検出を行っているケースもあります。実際に、過去数ヶ月間で1000種類をはるかに上回るバイナリが、様々なベンダーによってStuxnetと命名されています。

なおマカフィー製品による、Stuxnetそのもの、および2つの発表済みの脆弱性への対応状況は以下の通りです。

製品 対応状況
ウイルス定義(DAT)ファイル Stuxnetへの最初の対策は、7月16日にリリースされたウイルス定義ファイル(6045)に組み込まれました。その後、7月24日にリリースされたウイルス定義ファイル(6053)によって、さらに対応範囲が拡張されました。ルートキットのコンポーネントは”Generic Rootkit.d”として検出されます。
McAfee Web Gateway Gateway Anti-Malware Databaseの最新版で”Stuxnet”として対応しています。
McAfee Application Control ホワイトリスト方式とメモリー保護機能によって、この新しいマルウェアによる攻撃ベクトルに対してプロアクティブな保護を提供します。McAfee Application Controlは、ホワイトリストに明示的に掲載されていない、あらゆるドライバーの読み込みや実行を阻止します。

CVE-2010-2568

製品 対応状況
ウイルス定義(DAT)ファイル 既知のエクスプロイトについては、現行のウイルス定義ファイルで”Stuxnet”および”Exploit-CVE2010-2568”として対応しています。また、7月28日にリリースされたウイルス定義ファイル(6075)では”Downloader-CJX.gen.g”によって対応範囲を拡張しています。
McAfee Virus Scan Enterprise Scan BOP 範囲外。
McAfee Host IPS 範囲外。
McAfee Network Security Platform 2005年12月29日にリリースされたシグネチャセットには、”SMTP: Suspicious .Lnk Attachment Found”というシグネチャが含まれています。また、7月20日にリリースされたシグネチャセットには、”HTTP: Windows Shell Shortcut LNK File Parsing Vulnerability”、”HTTP: lnk File Download Detected”および”NETBIOS-SS: lnk File Access Detected”というシグネチャが含まれています。これら4つのシグネチャによって対応しています。
McAfee Vulnerbility Manager 7月16日にリリースされたFSL/MVMパッケージには、システムが危険にさらされているかどうかを判定する脆弱性チェック機能が組み込まれています。
McAfee Web Gateway 既知のエクスプロイトについては、Gateway Anti-Malware Databaseの最新版で”Stuxnet”、”Downloader-CJX.gen.g”および”Exploit-CVE2010-2568”として対応しています。
McAfee Firewall Enterprise McAfee Firewall EnterpriseのTrustedSourceコンポーネントによって部分的に対応しています。TrustedSourceコンポーネントは既知のエクスプロイトやマルウェアに関連づけられたURLをフィルタリングまたはブロックします。既知のエクスプロイト(およびマルウェアの亜種)の検出機能は、McAfee Firewall Enterpriseのウイルス対策コンポーネントから利用できます。
McAfee Application Control ホワイトリスト方式とメモリー保護機能によって、この新しいマルウェアの攻撃ベクトルに対してプロアクティブな保護を提供します。McAfee Application Controlは、ホワイトリストに明示的に掲載されていない、あらゆるドライバーの読み込みや実行を阻止します。

CVE-2010-2729

製品 対応状況
ウイルス定義(DAT)ファイル 範囲外。
McAfee Virus Scan Eneterprise Scan BOP 範囲外。
McAfee Host IPS 範囲外。
McAfee Network Security Platform シグネチャ2272 ”Possible Print Spooler Service Impersonation Attempt Detected”によってコード実行エクスプロイトに対応しています。
9月14日にリリースされたシグネチャセットには、”NETBIOS-SS: Microsoft Windows Print Spooler Service Impersonation Vulnerability”というシグネチャが含まれており、これによって対応しています。
McAfee Vulnerbility Manager 9月14日にリリースされたFSL/MVMパッケージには、システムが危険にさらされているかどうかを判定する脆弱性チェック機能が組み込まれています。
McAfee Application Control ホワイトリスト方式とメモリー保護機能によって、この新しいマルウェアの攻撃ベクトルに対してプロアクティブな保護を提供します。McAfee Application Controlは、ホワイトリストに明示的に掲載されていない、あらゆるドライバーの読み込みや実行を阻止します。