極めて高度なマルウエア「Flame」を利用したサイバー攻撃が中東を中心に発生していると、複数の米英メディア(BBC、Wall Street Journal、Forbes、CNET News.com)が現地時間2012年5月28日に報じた。ロシアKaspersky Labの報告によると、「Flameはこれまで検出した中で最も複雑なマルウエアの1つ」という。
Kaspersky Labは、国連の電気通信専門機関(ITU)とともに別のマルウエアについて調査している段階でFlameによる攻撃を確認した。Flameはネットワークトラフィックの傍受、スクリーンショットの保存、音声通話の記録、キー入力の不正送信といった複数の機能を備える。
これまで攻撃を受けた件数は個人、企業、大学、政府機関のシステムなど600件を超え、イラン、イスラエル、スーダン、シリア、レバノン、サウジアラビア、エジプトなどの国で影響が報告されている。
Flame自体のサイズは20Mバイトで、産業制御システムを狙ったマルウエアとして有名な「Stuxnet」の20倍もあり、すべて分析するには数年かかる見通し。Kaspersky LabではStuxnetの分析に半年かかった。
Kaspersky Labは、Flameのサイズが大きいこと、非常に高度であることから、独立したサイバー犯罪集団の仕業ではなく、政府が背後にある可能性が高いと見ている。しかし攻撃発生源は特定できていない。
ハンガリーのセキュリティ研究機関Laboratory of Cryptography and System Security(CrySyS Lab)もKaspersky Labと同様に、Flameを政府主導のマルウエアだと考えている。
Kaspersky Labは2010年8月にFlameの最初の事例を確認しているが、CrySyS Labの見解ではFlame登場は2007年にさかのぼる。
Kaspersky Labによれば、Flameは主にUSBメモリーなどの外付けデバイスを介して感染する。システムに侵入するとマルウエア制御(C&C)サーバーと交信し、必要に応じて追加モジュールをダウンロードする。また同社は、Flameの一部コードが通常はゲームに使用される言語、LUAで記述されている点も特徴として挙げた。
