Flameマルウェアが2週間前に発見された時、「非常に先進的」「スーパーマルウェア」「史上最大のマルウェア」と呼ばれた。

  これらのコメントはすぐに、Flameには特に新しい点も興味深い点も無いと指摘した専門家たちによる嘲笑を受けた。

  実際、Flameで唯一ユニークなのは、そのサイズでしかないようだ。それとても、それほど刺激的ではなかった。アナリストはもっと大きなマルウェアの事例を探してきたし、実際、発見してもいる(マルウェアの中にはビデオファイルのように見せかけようとするため、本体にノーカット版の映画を含むものもある)。

  FlameがStuxnetやDuquのように、政府によって作成されたもので、国民国家が作成したものだという示唆も、嘲笑を受けている。

  しかし、この2週間で我々がFlameについて知ったことを見てみよう。

1. Flameはキーロガーとスクリーングラバーを持つ

  否定派は感銘を受けていない。「以前、見たことがある。Flameは不十分だ。」

2. FlameはビルトインのSSH、SSLおよびLUAライブラリを持つ

  「肥大化している。遅い。Flameはやはり不十分だ。」

3. Flameはローカルドライブおよびネットワークドライブで、すべてのOffice書類、PDFファイル、Autodeskファイル、テキストファイルを探す。盗み出せる情報が多すぎるため、IFilterを使用して書類からテキストの引用を抜粋する。これらはローカルのSQLLiteデータベースに保存され、マルウェアのオペレータに送信される。このようにして、彼らはマルウェアに指示し、本当に興味深い資料に焦点を合わせる。

  「Flameは不十分だ。」

4. Flameは感染したコンピュータのマイクをオンにし、マシンの近くで話される会話を録音できる。これらの会話はオーディオファイルとして保存され、マルウェアのオペレータに送信される。

  「Flameは不十分だ。lol」

5. Flameは感染したコンピュータとネットワークで、デジタルカメラで撮影された画像ファイルを検索する。これらの画像からGPS情報を抽出し、それをマルウェアのオペレータに送信する。

  「Flameはやはり不十分だ。」

6. FlameはBluetoothを介して、感染したコンピュータに接続している携帯電話があるかどうかをチェックする。もしあれば、その端末(iPhone、Android、Nokiaなど)に接続し、アドレス帳の情報を収集して、マルウェアのオペレータに送信する。

  「Flameはやはり、ちょっと不十分だ。」

7. 盗まれた情報は、感染したマシンで使用されているUSBスティックを感染させ、このスティックに暗号化されたSQLLiteデータベースをコピーすることにより、それが閉環境の外側で使用された時に送信される。このようにしてデータは、ネットワーク接続の無い安全性の高い環境からも盗み出されることになる。

  「Agent.BTZが2008年、既に似たようなことをしている。Flameは不十分だ。」

8. Flameは現在、とうとう捉えられたが、攻撃者はすべての証拠を破壊し、影響を受けたマシンから感染を取り除こうと活動している。

  「何も証明されていない。不十分。」

9. 最新の調査で、Flameが実際、Stuxnetと関係していることが分かっている。そしてFlameが発見されたちょうど1週間後、イスラエルの軍隊とともにStuxnetを開発したことを米国政府が認めた

  「大げさにしようとしているに過ぎない。やはり不十分。」

10. FlameはMicrosoft Updateへのトラフィックを傍受するのに使用する、ローカルプロキシを作成する。これはFlameをLANで他のマシンに広めるのに使用される。

  「不十分。他のコンピュータがそうした偽のアップデートを受けとったにしても、Microsoftによって署名されていないのだから、受け入れるはずがない。」

  攻撃者がMicrosoft Terminal Serverライセンス証明書を再利用する方法を見つけたため、偽のアップデートはMicrosoftのルートと結びつく証明書で署名されている。これだけではWindowsのより新しいバージョンになりすますことはできないとしても、最先端の暗号の調査が行われ、証明書のスプーフィングを可能にするハッシュ衝突を生み出す、完全に新しい方法が考え出されている。しかし、彼らはさらにスーパーコンピュータを必要とした。

  「…」

  そして突然、何の前触れもなく、Flameが不十分か否かに関する議論は…消えてしまった。