Duqu(デュークー)とは

Duqu(デュークー)とは、特定の国の特定の組織を標的として高度な標的型攻撃を仕掛けるマルウェア(Windowsボット)のこと。Duquはそれ自体では拡散しない(自己増殖機能は備えていない)ため、ワームではないとされる。

2010年7月に確認され関心を集めた「Stuxnet(スタックスネット)」は、発電所などの産業用施設を狙う攻撃に利用されたが、Duquのコードの一部はStuxnetと類似している。米国のセキュリティ対策企業のシマンテック社では、DuquはStuxnetと同じ作成者、あるいはStuxnetのソースコードにアクセスできる何者かによって作成されたと解析している。

Duquの目的は、産業用制御システムメーカーなどの特定の組織から機密データや資産を収集し、別の組織に対する将来的な攻撃を容易にすることにある。実行可能ファイルは、キーストロークやシステム情報などを取得するように設計されており、確認されたケースによると、Duquは電子メールの添付ファイル等を介して感染する可能性がある。

11月1日には、DuquがWindowsのゼロディ脆弱性を突いていることが確認され、マイクロソフトは11月4日、セキュリティアドバイザリ(2639658)を公開した。これによると、Win32k TrueTypeフォント解析エンジンの脆弱性により特権が昇格されるというもので、メールに添付されたWord文書などを開くことで上記のゼロディ脆弱性を利用してDuquがインストールされる可能性があるという。

マイクロソフトは報告された脆弱性の悪用を試みる攻撃を認識しているが、現時点ではユーザーに高いリスクをもたらすものではないと言及している。セキュリティアドバイザリでは脆弱性のあるファイル「T2EMBED.DLL」のアクセスを拒否する手順が紹介されているほか、多くのセキュリティ対策ソフトでは既にDuquのファイル本体が検出可能となっている。

W32.Duqu: 次なる Stuxnet の前兆(Symantec Connect Community)
第2の「STUXNET」登場か!? 「Duqu」に要注意!(トレンドマイクロ セキュリティ ブログ)
Duqu:質問と回答(エフセキュアブログ)
Duqu 更新情報: ゼロデイ脆弱性を悪用したインストーラの発見(Symantec Connect Community)
マイクロソフト セキュリティ アドバイザリ (2639658): TrueType Font 解析の脆弱性により、特権が昇格される
Microsoft、「Duqu」に悪用された未解決の脆弱性を確認(ITmedia)

セキュリティ用語辞典一覧ページへ

辻 伸弘のセキュリティ防衛隊

関連キーワード:
  • Firefox 8.0.1 / 3.6.24が公開。早急にアップデートを
  • カテゴリートップへ
  • セキュリティ虫めがね 第7回 現代のパスワード事情に迫る!攻撃者に負けない強固なパスワードの作り方