シマンテックは、イランをターゲットにしており、SQL データベースに干渉することを目的としていると思われる別の奇妙なマルウェアを発見しました。
同社は11月15日にW32.Narilamと呼ばれるマルウェアを発見したが、金曜日に今野俊一氏によるより詳細なレポートを公開した。Narilamは同社によって「低リスク」と評価されているが、地図によると感染の大部分はイランに集中しており、英国、米国本土、アラスカ州にも少数の感染が確認されている。
興味深いことに、Narilamは、イランを標的としたマルウェアであるStuxnetといくつかの類似点を持っています。Stuxnetは、イランの遠心分離機を動かす産業用ソフトウェアに干渉することで、ウラン精錬能力を妨害しました。Stuxnetと同様に、Narilamもワームであり、リムーバブルドライブやネットワークファイル共有を介して拡散するとイマノ氏は記しています。
マシンに侵入すると、Microsoft SQLデータベースを検索します。そして、SQLデータベース内で特定の単語(イランの主要言語であるペルシア語を含む)を探し出し、データベース内の項目をランダムな値に置き換えたり、特定のフィールドを削除したりします。
イマノ氏は、その言葉の中には当座預金を意味する「ヘサブジャリ」、貯蓄を意味する「パサンダズ」、金融債券を意味する「アスナド」などがある、と書いている。
「このマルウェアは感染システムから情報を盗む機能は一切なく、標的のデータベースに保存されているデータを破損するように特別にプログラムされているようだ」とイマノ氏は記している。「この脅威が検索するオブジェクトの種類を考えると、標的のデータベースは企業の発注、会計、顧客管理システムに関連するものと思われる。」
ターゲットとされていない消費者
Narilam氏が求めているタイプのデータベースは、家庭ユーザーの間ではあまり利用されていないだろう。しかし、SQLデータベースを使用しているもののバックアップを取っていない企業にとっては、Narilamは頭痛の種となる可能性がある。
「影響を受けた組織は、データベースの復旧中に甚大な混乱や経済的損失に見舞われる可能性が高い」とイマノ氏は記している。「このマルウェアは、影響を受けたデータベースを妨害することを目的としており、元のデータベースのコピーを事前に作成しないため、この脅威の影響を受けた組織は、復旧に長い道のりを歩むことになるだろう。」
Stuxnetは、イランの核開発計画を遅らせる目的で米国とイスラエルによって作成されたと広く信じられています。2010年6月に発見されて以来、研究者たちはStuxnetをDuquやFlameといった他のマルウェアと関連付けています。これは、国家間のサイバー紛争の激化を懸念させる、長期にわたるスパイ活動と破壊活動の兆候を示しています。
ニュースのヒントやコメントは[email protected]までお送りください。Twitterで@jeremy_kirkをフォローしてください。
