DUQUとは、どのような脅威ですか

「STUXNET(スタクスネット)」に追随した攻撃の発生が懸念される中、その“前兆”として注目されたのが「Duqu」と呼ばれる脅威です。その直後の2011年10月中旬、「STUXNET 2.0」の異名で、まさしく「第2のスタクスネット」とITセキュリティ業界で大きな話題となりました。攻撃の際に作成される関連ファイル名に "~DQ" の接頭語が付与されることから、Duquという名称で呼ばれており、トレンドマイクロの検出名では、この脅威に関連する各種マルウェアに「DUQU」のファミリ名を使用しています。

米Symantecの解析によると、DUQU関連のマルウェアやコンポーネントのコードの一部は、スタクスネットのそれと類似しているため、両者は同一人物により作成されたのではないかと考えられています。スタクスネットは、2010年7月、特にSCADAシステムを標的にした攻撃として初めてその存在が確認された脅威です。なお、SCADAシステムとは、交通機関や水道設備、石油精製設備など、各種の産業設備の複雑なインフラの監視や制御に用いられるシステムの一種です。

ハンガリーのセキュリティ研究機関「Laboratory of Cryptography and System Security (CrySyS)」の報告によると、DUQUは、コンピュータへの侵入に際してMicrosoft Wordの脆弱性を利用することも確認されています(この脆弱性に関しては、最初の攻撃確認時は未公開でしたが、現在は既にMicrosoftから「セキュリティ アドバイザリ」が公開されています)。こうしてDUQUは、脆弱性を利用してコンピュータに侵入後、インストーラ作成の上、各種コンポーネントの復号と作成を行ないます。

DUQUは、特定の組織の従業員を宛先にして送信されたEメールを介してコンピュータへ侵入します。この点から、いわゆる「事前調査により標的となる組織や従業員の詳細を調べ上げてから攻撃を行なう」という「持続的標的型攻撃」の一部として、最終的には、ターゲットとなる組織の機密情報を漏えいさせることを目的にしているとも考えらています。

DUQUは、どのように不正活動を行ないますか

まず、DUQUは、Microsoft Wordの文書ファイルとしてコンピュータに侵入します。この際、上述の「Microsoft Wordの脆弱性(Microsoft Windows のコンポーネント、Win32k TrueType フォント解析エンジンの脆弱性で、これが悪用された場合、カーネルモード内の任意のコードを実行される可能性がある)」が利用され、この文書ファイルからインストーラが作成されます。このインストーラは、以下の複数のファイルで構成されています。 

  • RTKT_DUQU.B」: 「TROJ_DUQU.B」をコンピュータ内に取り込むシステムファイル(拡張子SYS)
  • TROJ_DUQU.B」: DUQUの各種コンポーネントを作成および復号を行なう。

上記で作成・復号される各種コンポーネントが協働しながら不正活動が行われますが、現時点で確認の上、解析されたコンポーネントは、以下のとおりとなります。 

  • RTKT_DUQU.A」:復号や各種情報の取得に利用されるシステムファイル(拡張子SYS)
  • TROJ_DUQU.ENC」:暗号化されたDLLファイル。復号されると「TROJ_DUQU.DEC」として検出される。
  • TROJ_DUQU.CFG」:復号や各種情報の取得に利用される環境設定ファイル

「RTKT_DUQU.A」は、実行されると、自身の本体から環境設定ファイルを復号し、暗号化されたDLLファイルである「TROJ_DUQU.ENC」の保存先が含まれたレジストリ情報を取得します。また、この「TROJ_DUQU.ENC」が組み込まれることになるプロセスも取得します。

上記の情報を取得すると、この「RTKT_DUQU.A」は、さらに「TROJ_DUQU.ENC」を復号します。復号されると、「TROJ_DUQU.DEC」という検出名のDLLファイルとなります。そしてこのDLLファイルは、環境設定ファイル「TROJ_DUQU.CFG」にアクセスし、自身の活動に必要に各種情報を取得します。取得される情報は、他のコンポーネントファイルのパス名、DNS確認のためにアクセスするWebサイト、「TROJ_DUQU.ENC」が組み込まれるプロセスなどです。

環境設定ファイル「TROJ_DUQU.CFG」を調べてみたところ、復号されたDLLである「TROJ_DUQU.DEC」は、侵入したコンピュータがインターネットに接続しているかを確認する動作を行なうことも明らかになりました。この確認作業の際、以下のWebサイトが利用されます。 

  • kasperskychk.dyndns.org 
  • www.microsoft.com

さらにこの「TROJ_DUQU.DEC」は、以下の正規のプログラムが実行中であるかも確認し、実行中である場合、自身をこれらの正規プロセスに組み込むという動作も行ないます。 

  • explorer.exe 
  • firefox.exe 
  • iexplore.exe 
  • pccntmon.exe

これは、他のマルウェアにおいても自身を隠ぺいするめに一般的に行われている工夫であり、簡単に検知されないようにするための措置となります。

上記の一連の動作の後、「TROJ_DUQU.DEC」は、最終的にC&Cサーバとの交信を行ない、そこからコマンドを受信します。どのような種類のコマンドであるか、まだその全貌は明らかにされていませんが、「感染したコンピュータに他のマルウェアをダウンロードしてくる」というコマンドなどが報告されています。

こうしてダウンロードされるマルウェアの1つが「TROJ_SHADOW.AF」です。このマルウェアは、感染したコンピュータから各種の情報を収集する機能を備えていることも確認されています。

最終的にどのような不正活動を行ないますか?

これまでの解析結果からも、DUQUは、暗号化された多数のコンポーネントを駆使し、C&Cサーバへの接続を最終目的とした非常に巧妙な攻撃であることが明らかになっています。接続されたC&Cサーバから具体的にどのようなコマンドが送信か、その全貌はまだ完全には把握されていないものの、現時点での感染報告からは、「TROJ_SHADOW.AF」など、情報収集型のマルウェアをダウンロードするコマンドなどが確認されています。

どのようにコンピュータに侵入しますか?

DUQUは、Microsoft Wordの文書ファイルとしてコンピュータに侵入し、「Microsoft Wordの脆弱性(Microsoft Windows のコンポーネント、Win32k TrueType フォント解析エンジンの脆弱性で、これが悪用された場合、カーネルモード内の任意のコードを実行される可能性がある)」を利用し、この文書ファイルからインストーラが作成されます。この脆弱性利用は、DUQUの存在を最初に確認したハンガリーのセキュリティ研究機関「Laboratory of Cryptography and System Security (CrySyS)」により報告されています。なお、この事実から、この攻撃は、特定の組織や機関などを標的とし、事前調査を時間をかけて行なった上で、ターゲットとなる組織や機関の従業員宛に(Wordファイルを添付した)Eメールを送信するという「持続的標的型攻撃」の手口である可能性も考えられます。「持続的標的型攻撃の手法」やそれに関連する「データ漏えいのリスク」の詳細については、以下の記事をご参照ください。 

DUQUとスタクスネットは、どの点で類似していますか?

これまでの調査で、コードのスタイルや構造の点で両者は非常に似通っていることが明らかになっています。一方、相違点としては、DUQUには、SCADAシステムへの攻撃に関連したコードが存在しないことがあげられます。スタックスネットの大きな特徴が「SCADAシステムへの攻撃への攻撃」であるならば、これは両者を分ける注目すべき相違点だともいえるでしょう。

なお、その他の類似点としては、以下のとおりとなります。 

  • サーフモードおよびカーネルデバッガの確認 
  • セキュリティソフトに関連したプロセスに自身のプロセスの追加 
  • システムコンポーネントによる特定のプロセスへのDLLファイルの組み込み 
  • 各種情報の取得に際してのシステムファイル利用 
  • APIフックの利用 
  • 複数のコンポーネントの協働による動作 
  • 圧縮ファイル(UPXパッカー)の利用 
  • RPC (Remote Procedure Call)の利用 
  • 2種類の環境設定ファイルの利用

こういった詳細部分が類似している点から、DUQUとスタクスネットは、双方とも同一人物もしくは同一グループにより作成されたと考えられています。あるいは、スタクスネットのソースコードを入手できた人物もしくはグループによりDUQUが作成されたとも推測されます。

この攻撃による被害は、主にどこに及ぶでしょうか?

上述のとおり、これまでの調査では、DUQUは、「持続的標的型攻撃」に関連した攻撃として考えられています。この点から、被害自体は、機密情報の漏えいというかたちで、標的とされた組織や機関などに及ぶことになるといえます。

この攻撃の主な目的は何でしょうか?

上述のとおり、現時点での感染報告からは、「TROJ_SHADOW.AF」のダウンロードがDUQUの不正活動の最終的な目的と確認されており、この「TROJ_SHADOW.AF」が情報収集型のマルウェアであるという点からも、DUQUの目的は、標的とした組織や企業からの情報収集であるということが伺えます。

この「TROJ_SHADOW.AF」は、「リモートアクセスツール(RAT)」というネットワーク経由でリモートから様々なコマンドを実行する機能も備えており、コマンドの種類も不正リモートユーザにより自由に変更できます。送信されるコマンドは、情報収集や、収集した情報の保存、自身(「TROJ_SHADOW.AF」)の削除などです。

そして収集される情報の種類も、以下のように多岐に渡ります。 

  • ドライブ情報 (空き容量・ドライブ名のデバイス名) 
  • コンピュータ上で開かれているファイルやそのコンピュータ自体の情報 
  • 各種の実行中プロセスおよびそれらの親プロセス 
  • スクリーンショット  リムーバブルドライブのシリアル番号 
  • ウインドウ名

DUQUは、SCADAシステムに何らかの影響を及ぼしますか?

上述のとおり、DUQUには、SCADAシステムを標的にして作成されたとされるコードの形跡は見当たりません。この点から、SCADAシステムには何も影響を及ぼすことはないといえます。

この脅威では、セキュリティソフトに関連したプロセスがどように利用されるのですか?

DUQUは、セキュリティソフトに関連したプロセスを不正活動の様々な段階で利用します。上記で説明された多くの動作において、「各種プロセスへ不正コードを組み込む」という手法が関連しています。また、特に「正規のプロセスへ不正コードを組み込む」という手法は、簡単に検知されないための措置として、他のマルウェアにおいても一般的に行われている工夫でもあります。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の多層防壁によりDUQUがもたらす脅威からユーザを確実に守ることができます。「ファイル・レピュテーション」技術は、DUQUに関連する全てのコンポーネントを検出し、それらが実行されるのを未然に防ぐことができます。「Webレピュテーション」技術は、DUQUによりアクセスされる全てのURL、さらにはC&Cサーバへのアクセスも確実にブロックします。つまり、C&Cサーバへのアクセスに別のファイルが利用されようとも、あらゆる交信が駆使されて不正URLや不正Webサイトへのアクセスされようとも、そうした試みを確実に阻止することができるということです。

また、「Trend Micro Threat Management Solution™ 2.6」のメインコンポーネントの1つである「Trend Micro Threat Discovery Appliance(TDA)」は、ネットワーク上を流れるトラフィックを常時監視するセンサー装置として、企業内のネットワークを防御し、C&Cサーバとの交信や収集した情報のアプロードといった不正なパケットを確実にブロックすることができます。また、「Trend Micro Deep Security」を利用すれば、DUQUが企業ネットワーク内のコンピュータに施した不正な変更を監視することで、こういった脅威を確実に阻止することができます。