意図不明のマルウェアが出現──対応に追われるセキュリティ・ベンダー

 セキュリティ専門家にもその意図がつかめない巧妙かつ悪質なプログラムが、スパムに仕込まれるかたちで広く出回っている。

 多くのセキュリティ・ベンダーは、「Warezov」「Stration」「Stratio」などと称される同マルウェアの危険度を低レベルと認定しているが、一方で、対処するには面倒な手間がかかると口をそろえている。

 マスメール型ワームに分類される同マルウェアは、Windowsが稼働するマシンに影響を及ぼすという。基本的には、スパム・メールに添付された同ワームを含むプログラムをユーザーが開くことで、コンピュータへの感染が起こる。感染後は、当該のコンピュータに保存されているメール・アドレスあてに、マルウェアが自身の複製を送りつける。

 また、同マルウェアは、Webサイト上のバッチ・ファイルから30分ごとに最新のプログラムをダウンロードする機能を備えている、とヘルシンキに本拠を置くセキュリティ企業エフ・セキュアのリサーチ責任者、ミッコ・ヒッポネン氏は説明する。

 同氏によると、同マルウェアの最新版は、ハッカーが操作しているサーバ上のプログラムによって作成されているという。これまでも、みずからの亜種を作り出すマルウェアの存在は確認されていたが、そうした亜種を生成するコードはマルウェア自身の中に含まれていた。したがって、サンプルさえ入手できれば、セキュリティ・アナリストがそれを分析調査し、登場する可能性のある新バージョンを特定することができた、とヒッポネン氏は述べている。

 しかしながら、今日ではハッカーがコードをコンパイルし、短時間のうちに新バージョンが次々と量産されているため、その都度自社のソフトウェアのシグネチャをアップデートして検知できるようにしなければならないセキュリティ企業にとっては頭の痛い事態だ。エフ・セキュアだけでも、同マルウェアを対象とするシグネチャを最低150件は発行したという。

 「コードが頻繁に変わってしまうので、こうした攻撃を検知するのはきわめて煩雑な作業になる」(ヒッポネン氏)

 セキュリティ企業の英国ソフォスは、およそ300種に上る同マルウェアの亜種を確認しているという。2006年10月時点では、スパム・メールに含まれる悪質なコードの中で最も多いものの1つが同マルウェアだったと、ソフォスのシニア・セキュリティ・コンサルタント、キャロル・エリオールト氏は説明する。

 感染マシンは、アップデートされたコードをダウンロードするために、ほかのドメインへの接続を試みることから、エフ・セキュアはインターネット・サービス・プロバイダーと協力して、新たな亜種を置いているドメインを閉鎖する作業を進めている。同社によると、現在までに10件中9件のドメインを閉鎖したという。

 もっとも、同マルウェアは奇妙なことに、感染コンピュータ上で特別な動きを見せないという。ヒッポネン氏は、「感染したコンピュータの数は数十万台に及ぶと見積もられているが、今のところ、数年前に発生した大規模なマルウェア問題のスケールには達していない」と語る。

 同氏は加えて、ハッカーは、DoS攻撃を仕掛けたり、スパムを大量送信したりするのに十分な数のマシンが感染する日を待っているのかもしれないと指摘する。

 「彼らの目的をなるべく早く突き止めたい。たちの悪い目的でなければよいのだが」(ヒッポネン氏)

(ジェレミー・カーク/IDG News Service ロンドン支局)

提供:Computerworld.jp