概要

• SentinelLABSがfast16という2005年製の未公開サイバー破壊フレームワークを発見
• fast16.sysは高精度計算ソフトを標的にし、計算結果を改ざん
• Lua仮想マシンを組み込んだ初期のWindowsマルウェアとしても注目
• ShadowBrokersリークでNSAの“Territorial Dispute”にも言及
• 国家レベルの高価な計算インフラ破壊を狙った先駆的攻撃事例

fast16：高精度計算を標的としたサイバー破壊フレームワーク

• fast16は2005年に作成されたカーネルドライバおよびモジュラー型マルウェア
• 標的は物理学・暗号・原子力研究などの高精度計算ソフトウェア
• メモリ内コードパッチで計算結果を改ざん、全施設に誤計算を拡散
• 自己伝播機能を持ち、ネットワーク全体への感染を狙う
• Stuxnetより5年以上先行する先駆的なサボタージュ攻撃
• Lua仮想マシンの組み込みはFlameより3年早い実装

svcmgmt.exe：Lua仮想マシン搭載のキャリアモジュール

• svcmgmt.exeはWindows 2000/XP時代のサービスラッパーに偽装
• 内部にLua 5.0仮想マシンおよび暗号化バイトコードを格納
• 独自拡張でUnicode対応・組込み暗号・NT APIバインディングを実装
• 主要ロジックは暗号化Luaバイトコードに委譲、モジュール性と再利用性を確保
• PDBパスによりfast16.sysカーネルドライバとの関連を特定

fast16.sys：ファイルシステム層の精密破壊ドライバ

• fast16.sysはブート時に自動ロードされるファイルシステムドライバ
• NTFS・FAT・MRxSMBなど主要ファイルシステムに割り込み
• 実行ファイル読み込み時にコードを改ざん、破壊活動を実施
• Windows 7以降では動作不可だが、当時としては高度なルートキット技術
• ShadowBrokersリークのdrv_list.txtで“友好的”なインプラントとして記載

ワームレット：ネットワーク伝播機構

• svcmgmt.exeは複数のワームペイロード（wormlet）を格納
• 標準構成ではSCMワームレットがネットワーク共有経由で感染拡大
• Windows標準のサービス制御・ファイル共有APIを利用し拡散
• 弱い管理者パスワード環境を標的、カスタムプロトコル不要

環境認識と回避機構

• インストール前に**ok_to_install()**ルーチンで環境をチェック

• 主要なセキュリティ製品のレジストリキーを検出した場合、自己展開を中止

• 期待される標的ネットワークの検知回避設計

  • 例：Symantec, Sygate, TrendMicro, Zone Labs, F-Secure, McAfee, Kaspersky など

svcmgmt.dll：最小限の報告チャンネル

• svcmgmt.dllは内部ストレージに格納されたDLL
• WindowsのAddConnectNotify() APIを利用し、RAS接続時に起動
• 名前付きパイプ**\.\pipe\p577**に接続情報を送信
• 単独では動作せず、ホストプロセスによる登録が必要

fast16の意義と先進性

• 国家レベルのサボタージュを目的とした最初期の事例
• Lua VMによる暗号化モジュール構造は後続APTに多大な影響
• ShadowBrokersリークによるNSA関連性の示唆
• 高精度演算インフラへの破壊的リスクを実証した先駆的マルウェア

このfast16事例は、高価値インフラへの精密サボタージュやモジュラー型マルウェア設計の歴史的重要性を示す。現代サイバー攻撃の分析・防御においても、初期APTの設計思想を学ぶ好例。