数多くのセキュリティベンダーが「Flame」に対する注意を促している。これまで検出された中で最も高度なマルウエアの一つと言われる、新たなマルウエアだ。今回は、このFlameの話題を中心に取り上げる。
Flameについては、例えば米ウェブセンスがブログで概要を解説している。
Flameは「Flamer」あるいは「Skywiper」とも呼ばれ、中東でまん延している亜種が確認された。近年中東で広がったマルウエアとしてよく知られているものには「Stuxnet」(スタックスネット)や「Duqu」(デューク)があるが、いずれも高度で、草分け的存在だった。
Flameは同定されたばかりだが、実は2010年から出回っていた可能性が極めて高い。機能としては、オーディオやスクリーンショットの記録など、様々な手段を使って感染システムの情報を収集し、さらにそれをアップロードする機能を持つ。
ファイル容量は合計約20Mバイトと、他のマルウエアよりもかなり大きい。ほとんどのマルウエアの容量は1Mバイトに満たない。ウェブセンスは巨大さの理由の一つとして、広範囲にわたる機能が組み込まれていることを挙げる。Flameは複数のモジュールから成り、復元ライブラリー、SQLデータベース、LUA仮想マシン(LUAはスクリプト言語)などが含まれる。これまでのところ、このマルウエアは既知の脆弱性「MS10-046」と「MS10-061」を使用している。これらは、StuxnetやDuquが執拗な攻撃を維持し、感染したネットワークを横断的に移動するためにも使われていた。
Flameの主要モジュールの名前と、モジュールがコンパイルされた日時を示すデバッギングデータの一部
感染ステージにおけるFlameのランタイムデータの一部
