先週、ドイツ語ベースの「Chaos Computer Club」(CCC)が、ドイツの法律に反して当局が使用していると主張する、バックドア型トロイの木馬に関する詳細を発表した。

  そして、許可された範囲内でという但し書き付きで、ドイツのいくつかの州が「Backdoor:W32/R2D2.A」〔別名「0zapftis」)の使用を認めた

  1つのケースでは、ミュンヘン国際空港で税関・出入国管理を容疑者が通過する際、彼のラップトップにトロイの木馬がインストールされた。

  以下は、このバックドアに関するさらなる詳細だ。

  CCCのレポートには、同バックドアのDLLおよびカーネルドライバの分析が含まれている。CCCはインストーラを入手できなかったようだ。(それは容疑者のコンピュータ上に、ローカルでインストールされたのかもしれない。)

  我々はインストーラを入手している。

  以下は、エフセキュアのマルウェア格納システムからのスクリーンショットだ:

scuinst.exe

  このインストーラファイルは「scuinst.exe」という名称だ。最初に発見されたのは2010年12月9日。

  「scuinst.exe」というファイル名で重要なのは何だろう? これは「Skype Capture Unit Installer」の略語だ。「Skype Capture Unit」は、ドイツ、バイエルンのハイガー市にある「Digitask」という企業により開発された商用トロイの木馬の名称だ。Digitaskおよび「Skype Capture Unit」のバックグラウンドに関する詳細情報は、Wikileaksによるこれらのドキュメントを見て欲しい。そして以下は、ドイツの税関調査委員会が「Digitask」から2075256ユーロで監視サービスを購入したことを示している。200万ユーロだ。

digitask

  我々のシステム自動化は「scuinst.exe」が気に入らず、カスタマのコンピュータで自動的にブロックされるようセットした。「ヒューリスティック」カテゴリは、我々のオートメーションが、エフセキュアのアナリストが作成した規則に基づいて同ファイルを警告したことを示している。

  エフセキュアのカスタマで、「R2D2」にさらされた人はいるだろうか?

  いや。カスタマが一人としてこのバックドア(CCCの発表以前にインザワイルドだった)と遭遇していないことは、我々の統計に示されている。

  では、エフセキュアはどのようにしてインストーラのコピーを入手したのか?

  我々(そして他の多くのアンチウイルスベンダ)は、「virustotal.com」からファイルを受けとった。

  実際、このインストーラはVirustotalに何度か提出されている:

scuinst.exe

  では、多くのアンチウイルスベンダがインストーラを有しているのだろうか?

  そうだ。VirusTotalは、複数のアンチウイルスエンジンで疑わしいファイルを分析し、検出名のリストを提供するサービスだ。VirusTotalは協調的な取り組みで、参加者なら誰とでもサンプルのシェアを行う。

  検出が存在しなければ、プロテクションもないということなのか?

  いや。多くのアンチウイルス製品(たとえば「エフセキュア インターネット セキュリティ」)は、従来のシグネチャ検出に勝る、付加的なプロテクションのレイヤを有している。脅威がシグネチャ「検出」に対応していないからといって、プロテクションの他のレイヤによって「ブロック」されないということは意味しない。

  この場合、R2D2のインストーラは、従来のシグネチャデータベース検出が公開される前に、我々の「クラウド」レイヤによりブロックされていただろう。

  では、VirusTotalが誰とでもシェアするなら、バックドアを秘密にしておこうとしながら、そこにアップロードするのはバカげているのでは?

  そう。プロのマルウェア作者がブラックマーケットマルチスキャナを使用するのは、そうした理由による。

  では何故、R2D2の作者はそれを提供したのか?

  おそらく彼らがバックドアのインストーラを「テスト」するための方法として知っていた、唯一の方法だったのだろう。

  あるいは、バックドアのライフスパンと効果が減少しても、気にならなかったのかもしれない。

  あるいは、ドイツ政府(そしてバックドアを作成するのに雇われた企業)は、アンチウイルス業界が何をするか、そしてカスタマを保護するために、我々がどのように協力し合うかということを、よく理解していなかったのかもしれない。

  我々は全員参加しているのだ。