自己破壊的で検出が難しい…史上最も「トリッキーな」コンピュータワームウイルス、Flame

1. 予言

大東：小白、前に話したワームウイルスを覚えていますか？

Xiaobai: 覚えておいてください、ワームウイルスはインターネットを通じて複製され、拡散します。主な感染経路はインターネットと電子メールです。

大東：よく覚えてるよ！しかし、社会の発展に伴い、技術が進歩するだけでなく、コンピューターウイルスも進化しています。今日お話しするのは、ワームウイルスの超進化バージョンです！

小白：超上級バージョン？これを聞いただけで本当に素晴らしい気分になります!

Dadong: 本当の名前は Worm.Win32.Flame で、略して Flame Virus といいます。

小白：董兄さん、早く教えてください！もうこれ以上待てません。

2. 炎ウイルス

Dadong: Flame ウイルスの正式名称は Worm.Win32.Flame です。 2012年5月に発見されました。バックドアプログラムであり、トロイの木馬ウイルスであり、ワームウイルスの特徴も持っています。背後にあるコントローラーが命令を出す限り、インターネットやモバイル デバイス上で自己複製することができます。

Xiaobai: コンピュータシステムが感染すると、ウイルスはどのような動作をしますか?

Dadong：ネットワークトラフィックの監視、スクリーンショットの撮影、音声会話の録音、キーボード入力の傍受などが含まれます。感染したシステム内のすべてのデータは、リンクを通じてウイルスが指定したサーバーに送信され、オペレーターが一目で確認できるようになります。

小白：完全に監視されています。

Dadong: Flame ウイルスは、サイバー兵器として使用されることが多く、複数の国を攻撃した非常に複雑な悪意のあるプログラムです。

カスペルスキーがFlameウイルスを阻止

小白：Flameウイルスはどのような方法で感染するのですか？

Dadong: 別の産業用ウイルスである Stuxnet が使用する、あまり知られていない LNK の脆弱性と同様に、物理的な接触も Flame のコードで発見されました。 USB を持ってきて被害者の PC に接続する人もいます。この LNK の脆弱性は、Stuxnet が最初に発見されたときには未公開のゼロデイでしたが、現在は修正されています。これまでのところ、Flame によって利用される 0day 脆弱性は発見されていません。

小白：他には何がありますか？

Dadong: リモート感染。この場合、悪意のあるリンクまたは電子メールの添付ファイルを介して感染する可能性があります。 Flame の作成者が Flame ウイルスをユーザーの PC にリモートでアップロードしようとすると、適切なデジタル署名がないため、Trustwave Secur Web Gateway などのセキュリティ保護ソフトウェアによってブロックされる可能性があります。

小白：Flameウイルスのターゲットは何ですか？

大東：Flameウイルスは2012年に発見されたばかりですが、多くの専門家は、長い間潜伏していた可能性があると考えています。イランやイスラエルを含む多くの国で数千台のコンピューターがこのウイルスに感染している。さらに、このウイルスの攻撃活動は不規則です。個人のコンピューター、教育機関、さまざまな非政府組織、政府機関などがこの攻撃の対象となっています。

小白：どうやらターゲットを選ばないようです。

大東：Flameウイルスは当初、サイバー戦争に利用されることを目的として、イランで189件、イスラエルとパレスチナで98件、シリア、レバノン、サウジアラビアなどの中東地域を攻撃することに重点を置いていました。

炎ウイルス分布図

小白：火薬の煙のない戦争。

3. 史上最も危険なウイルス

Dadong：Flame は、世界電気通信連合などの公式組織や、Kaspersky などの国際的に権威のあるメーカーによって、これまでで最も複雑で危険かつ致命的なウイルスの脅威であると特定されています。

小白：炎ウイルスはそんなに強力なんですか？それは「最も複雑、最も危険」、「最も強力」、あるいは「最も巧妙に設計された」、「最も秘密主義的な」、「最も致命的な」など、さまざまな称号を与えられるに値するのでしょうか?

Dadong: Flame ウイルスは、5 つの異なる暗号化アルゴリズム、3 つの異なる圧縮技術、独自の形式を含む少なくとも 5 つの異なるファイル形式を使用し、感染したシステム情報を SQLite などのデータベースに高度に構造化された形式で保存します。ウイルスファイルのサイズは20MBにもなります（コードが印刷された紙の長さは2,400メートルに達します）。さらに、ゲーム開発で使用される Lua スクリプト言語を使用して、構造をより複雑にしています。

小白：まさに「最も複雑」と言えるでしょう。

Dadong: Flameウイルスの最も古い出現は2007年に遡ると報告されており、2010年3月に攻撃者によってリリースされた可能性があると推測されています（イランの石油部門のビジネスインテリジェンスを攻撃）が、その構造の複雑さと攻撃対象の選択性のために、セキュリティソフトウェアはそれを検出できませんでした。現在、Flame ウイルスは何らかの形で 5 ～ 8 年、あるいはそれ以上活動していた可能性があるという見方が一般的であり、この高い潜伏期間は非常に危険です。さらに、データ収集タスクが完了すると、これらのウイルスは自己破壊する可能性があり、これが長期間休眠状態のままになる理由の 1 つです。

小白：自分自身を破壊することもできるので、簡単に検出されないのも不思議ではありません。

Dadong: Flame ウイルスに感染し、そのコンポーネントがアクティブになると、キーボード、画面、マイク、モバイル ストレージ デバイス、ネットワーク、WIFI、Bluetooth、USB、システム プロセスなど、あらゆる条件を利用して情報を収集し、ユーザーの Web 閲覧、通信通話、アカウント パスワード、さらにはキーボード入力を記録します。さらに、Bluetooth 機能を使用して、感染したコンピューターに接続されたスマートフォンやタブレットからファイルを盗み出し、ウイルスを遠隔制御するサーバーに送信します。さらに、サーバーとの接続が切断された場合でも、攻撃者は Bluetooth 信号を通じて感染したコンピューターを厳密に制御することができます。

Xiaobai: 機能面から見ると、非常に強力です。これは、ユーザーのコンピューターのすべての入出力インターフェースをカバーする、万能の盗難技術と言えます。

大東：その通りです。

IV.予防策

小白：こんなに強力な炎ウイルスをどうやって防ぐんですか？

大東：心配しないで。ウイルス対策ソフトウェアには、「Super Flame」と呼ばれる特別なウイルス対策ツールが用意されています。クリックするだけで、炎のウイルスは跡形もなく消えます!

小白：他の方法はありますか？

大東：もちろんです。 Flame ウイルスは Microsoft の脆弱性を悪用するため、公式パッチを適時にインストールすることが非常に重要です。

小白：フレイムウイルスに感染したかどうかはどうすればわかりますか？

Dadong: まず、コンピューターを検索して「~DEB93D.tmp」ファイルがあるかどうかを確認します。存在する場合、Flame ウイルスに感染している可能性があります。次に、レジストリ「HKLM_SYSTEM\CurrentControlSet\Control\Lsa\ Authentication Packages」を確認します。 mssecmgr.ocx または authpack.ocx が見つかった場合、コンピュータが感染していることを意味します。

Xiaobai: これらのファイルがコンピュータにない限り、コンピュータが感染していないと確信できますか?

Dadong: 次のディレクトリが存在するかどうかを確認してください。存在する場合、コンピュータが感染していることを意味します。
C:\Program Files\CommonFiles\MicrosoftShared\MSSecurityMgr

C:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

C:\Program Files\Common Files\Microsoft Shared\MSAPackages

C:\Program Files\Common Files\Microsoft Shared\MSSndMix

小白：もう終わりのはずです！

大東：君は本当にせっかちだね！まだ教えてくれていない最後のステップがもうひとつあります! %windir%\system32\ ディレクトリに次のファイルのいずれかが見つかった場合も、コンピュータが感染している可能性があることを示しています: mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys

小白：ついに完成しました！しかし、ウイルスは現在どこにでも存在するため、侵入を防ぐために上記の各フォルダを段階的にチェックする必要があります。

大東：小白、ようやくこれらの原則を理解したね。