その複雑さから、「Duqu」の事例を理解するのは難しい。助けになればと、以下にいくつかのQ & Aを掲載する。

Q: Duquとは何か?
A: Duquをとりまくニュースや進展のため、これは実際、非常に幅広い質問だ。狭義で言うなら、Duquはごく限られた国のごく限られた組織を対象とした高度な標的型攻撃の一部として用いられているWindowsボット(ワームでは無い)だ。

Q: Duquはどのように拡散するのか?
A: Duquはそれ自体では拡散しない。ある既知のケースでは、Duquは電子メールメッセージを介して受信された添付ファイルによりインストールされた。

Q:それはRSAがハッキングされたのと同じ手法ではないのか?
A: そうだ。多くの標的型攻撃が、この手法を用いている。RSAのケースでは、Excelドキュメント添付ファイルは、Poison Ivyという名のバックドア/リモート・アクセス・ツール(RAT)をインストールするため、Adobe Flash Playerにあるゼロデイ脆弱性を悪用したFlashオブジェクトを使用した。

Q:では、Duquのエクスプロイトの何がそれほど特別なのか?
A: Duquのインストーラが使用するゼロデイは、Windowsカーネルの脆弱性を悪用する。

アップデート:Microsoftが「Security Advisory (2639658)」を公開した。

Q: Flash PlayerエクスプロイトよりもWindowsカーネルエクスプロイトの方が、どのくらい高度なのか?
A:え、何?

Q:いや、真面目な話、どれくらい?
A:相当に。サードパーティ・アプリケーションに対して使用されたものと比べ、たとえそれがFlash Playerとして広くインストールされているにしても、Windowsカーネル脆弱性/エクスプロイトは、はるかに価値がある。

Q: この脆弱性に対してシステムにパッチを当てることはできるのか?
A: いや、できない。

Q:では、このWindowsカーネル脆弱性を修正できないなら、どうすればいいのか?
A:待つことだ。現在、Microsoft Security Responseが同脆弱性を調査しており、ソリューションの準備をしている。幸い、同エクスプロイトドキュメントが広まっている範囲は非常に限定されており、NDA下にある。

Q:何故、ドキュメントにNDAがあるのか?
A: 高度な標的型攻撃であるため、ドキュメント自身、標的のアイデンティティを明らかにする可能性が高い。ドキュメントの共有は、カスタマの機密の侵害となる可能性があり、そのためCrySyS Lab(Duquの発見者)は、彼らのカスタマのプライバシーが保護されない限り、同ドキュメントを公開することができないのだ。

Q: ではDuquのインストーラは「イン・ザ・ワイルド」ではないのか?
A:一般的には違う。他に発見されていない亜種がある可能性はあるが。

Q:ではDuquは私にとって脅威なのか?
A:あなたが誰なのか次第だ。しかし一般的にはノーだ。しかし、Duquは最終的には大きな問題を引き起こすだろう。

Q: Duquはどんな問題を引き起こすのか?
A:MicrosoftがWindowsカーネル脆弱性を修正すれば、野放しの犯罪者たちはリバースエンジニアリングを行うことができ、脆弱性を発見することになる。その時点で、最新の状態にないWindowsコンピュータはすべて、非常に深刻なエクスプロイトであることになりそうなDuquに対して、より脆弱となるだろう。

Q: しかし今はまだ?
A:その通り。

Q:Duquに関して他にも何か興味深い事はあるのだろうか?
A: そう、確かに。既知のあるケースでは、Duquにより用いられたドライバは、台湾のハードウェア会社C-Mediaに発行され、盗まれた証明書を使用して署名されていた。

Q:何故Duquは署名付きのドライバを使用したのか?
A: 署名付きドライバは、署名のないドライバに注意を促し、インストールを拒否するセキュリティポリシーを回避することができる。セキュリティポリシーは本質的に、署名のないドライバを信用しないよう設定されるものだ。ドライバが既知のベンダにより署名されていれば、信用レベルは高い。

Q: では、何故Duquはそれほど重大なのか? ゼロデイや署名付きドライバのためなのか?
A:そのほか、DuquはStuxnetと「関連がある」ためだ。

Q: どのような関連か?
A: 「Duqu」のコンポーネントは「Stuxnet」のコンポーネントとほぼ同じもので、両者は共通のソースコードにアクセスできる何者かにより書かれているようなのだ。

Q:「Duqu」と「Stuxnet」には他にも関連があるのか?
A:「Duqu」により使用されるドライバは、台湾のハードウェア会社JMicronからのものだとしている。StuxnetはJMicronから盗まれた証明書で署名されたドライバを使用していた。

Q: 証明書はどのように盗まれたのか?
A:不明だ。

Q: どれくらい盗まれたのか?
A:台湾の3つのハードウェアベンダC-Media、JMicron、Realtekのケースが判明している。

Q:何故「Duqu」は台湾に関係しているのか?
A:不明だ。

Q:何故カッコ付きなのか? 「Duqu」は他にも何か?
A:広義では、Duquは民族国家により展開されている(あるいは公認されている)「組織的行動」もしくは「ミッション」だ。

Q:「組織的行動」というのはどういう意味か?
A:「Duqu」は、何らかのスパイ活動もしくは偵察任務であるように見えるのだ。たとえば実世界で、この種の偵察任務はアメリカ海兵隊武装偵察部隊(FORECON)チームが「グリーン作戦」と呼ぶものと見なすことが可能だ。

Q:では「Duqu」は単なる悪意あるコードではないのか?
A:ソフトウェアコンポーネントは、我々がDuquと呼ぶものの一部にすぎない。こんな風に考えてみて欲しい。Duquソフトウェアがあり、そしてオペレーションDuquも存在する、と。

Q: それでは「Stuxnet」は? Stuxnetワームはどうなのか?
A:オペレーションStuxnetで使用されているインストーラは、高度なUSBワームだ。このワームは拡散を容易にするため、ゼロデイWindows脆弱性を用いる。

Q:オペレーションDuquとオペレーションStuxnetのミッションは同一なのか?
A:いや。オペレーションStuxnetは、むしろ直接行動を含むミッションである「ブラック・オペレーション」に近い。Stuxnetのケースでは、イランの原子力施設の操業を中断させるという行動がなされた。

Q:Stuxnetは原子力発電所の操業を中断させたのか?
A: そうだ。オペレーションStuxnetは非常に複雑で、巧妙でもあった。Stuxnetワームと付随的なコンポーネントは、地理的にかなりの距離を移動する必要があった。また、インターネットに接続していない閉ざされた標的に、オートパイロットで、コールホームすることなく、侵入する必要があった。

Q:ではStuxnetがインストーラ/感染ベクタとしてUSBワームを使用したのはそのためか?
A:そうだ。困難な緩和要素のため、Stuxnetは外部資源無しに自身を拡散する必要があった。そしてそれ故、多数のゼロデイエクスプロイトを備えていたのだ。Stuxnetの感染力は過剰であるように見えるが、そのミッションは成功しているようであり、Stuxnetの背後にいる連中はおそらく過剰とは考えていないのだろう。

Q: Duquはどのように異なっているのか?
A:Duquは高度だが、自立的に行動するように作成されてはいない。インストーラが標的を感染させれば、Duquはコマンド&コントロール(C&C)サーバにコールホームする。現在分かっているサーバは2つある。1つはインドに、もう1つはベルギーにあった。これらのIPアドレスは、現在はアクティブではない。

Q: C&Cによりどんな活動が行われたのか?
A:既知のあるケースでは、Duquは標的からデータを収集するため、Infostealerをダウンロードした。そのInfostealerは実のところ、盗まれたデータに関連するログファイルに「DQ」をプリペンドすることから、Duquの名称のもととなったコンポーネントだ。

Q:C&Cは他に何をすることができるのか?
A:たとえば共有ネットワークリソースを介して、それ自身を標的ネットワークで拡散するようDuquに命じることができる。

Q:Duquは収集したデータをどのようにC&Cに送信するのか?
A:データを暗号化し、それをJPG画像に追加する。

Q: 何? JPG画像? 何故?
A: 誰かがネットワークトラフィックをモニタしていても、機密資料ではなく、無害に見える画像ファイルが見えるだけだからだ。詳細はここを参照して欲しい。

Q: わあ。Duquは他に何かコソコソするのか?
A: そうだ。30日後、C&Cから命じられない限り、Duquは自身を消去して侵害の痕跡を制限する。

Q:Duquの背後にいるのは誰か?
A: 不明だ。

Q:推測して欲しい:Duquの背後にいるのは誰か? — 11月4日に追加した質問
A:様々な要素から見て、民族国家だろう。

Q: 何を探しているのか?そして理由は?
A: 不明だ。

Q: Duquに関して、断定できることは?
A:「オペレーションDuqu」のソフトウェアコンポーネントは、非常に熟練した開発者とエクスプロイトアナリストのチームにより作成されたということだ。

Q: Duquの目的に関して想像はつくのか?
A: それが何であれ、糸を引く民族国家の関係者が利益を得るためには、非常に重要なことに違いない。この件の関係者にとって、Windowsカーネル脆弱性を開示するリスクは、その利益を上回ったのだろう。部外秘の情報を知る者以外、Duquの本当の目的を明確にすることはできない。識別可能な直接行動が起きるまでは。

Q:では、Duquの背後には政府機関がいると考えているのか?
A:そうだ。

Q: 政府関係者がDuquのようなマルウェアを使用するべきなのか?
A:採決はされていないようだ。

Q: ドイツのR2D2トロイの木馬はどうなのか?
A: R2D2は警察の監視のために作成されたトロイの木馬だ。ゼロデイエクスプロイトや正当なハードウェアベンダから盗まれた証明書により署名されたドライバは使用していなかった。R2D2は通常の警察業務のため、ドイツ当局により制作を依頼されたものだ。

Q:でも警察のトロイの木馬は良く無いのでは?
A:そう、マルウェアはしばしばコントロールを逃れる方法を見つける。我々には決して良い考えとは思えない。

Q:R2D2はどの程度悪いのか?
A:R2D2は、ドイツの法律により許可された範囲を遙かに超えているように見える。これはドイツで法的、政治的混乱を引き起こしたが、技術的にはそれほどでもなかった。我々のシステムオートメーションは、人間のアナリストが気づくよりずっと以前に、R2D2は信頼されるべきではないと判定した。警察にとってR2D2を価値あるものにしたのは限られた導入基盤だ。それは実際、犯罪者に採用され得る方法では革新的とは言えなかった。

Q: Stuxnet/Duquは革新的なのか?
A:そう、非常に。脆弱性が明らかになれば、我々(および他の人々)はこの新たなエクスプロイトのため強力なジェネリック検出を作成するため、膨大な仕事をする必要があるだろう。ラボの他のメンバーは、収集したファイルの再スキャンと結果の処理を行うべく、C-Mediaにより署名されたソフトウェアのためファイルのデータマイニングを行う必要があるだろう。Duquは技術的な頭痛の種となり、得た教訓は犯罪者により、どこかの時点で採用されるだろう。

Q:DuquはStuxnetとは関係無いという人々はどうなのか?
A:2つのオペレーションの類似点を比較してみよう。

  •  インストーラはゼロデイWindowsカーネル脆弱性を利用する。
  •  盗まれた証明書で署名されたコンポーネントがある。
  •  高度な諜報活動を示唆する方法で標的が定められている。

  Duquのインフラをコード化し、構築した技術開発チームは、Stuxnetの開発を行ったチームとは部分的に異なるかもしれない。攻撃が高度に標的を定めているところから、かなりの人的情報収集作業が行われているものと考えられる。この諜報活動は、同じ、もしくは異なるアナリストにより行われたかもしれないが、それはあまり重要ではない。チームの構成がどうであれ、これらオペレーションの類似点は、糸を引いている民族国家関係者が共通であることを示唆している。

Q: 我々がこの民族国家の正体を知ることはあるのか?
A: そうなるとは思えない… 少なくとも近い将来にはないだろう。Duquが引き起こした状況から、どのような種類の開示も阻止されている。

Q: この民族国家の関係者は他のオペレーションを進行中なのか?
A: 不明だ。しかしそうだとしても、あまり驚きはしない。

Q: 最後の(今のところ)質問:オペレーションDuquは電子メールの添付ファイルを使用した。それは誰もが用心すべきものではないだろうか。どうしてそのようなベーシックな攻撃方法を使用するのか?
A: 上手く行くからだ。

http://covers.dummies.com/share.php?id=13154

  その他のリソースへのリンクについては、昨日の記事を参照して欲しい。