「プライバシー晒しまくり」のトロイの木馬が残した教訓（1/2 ページ）

先週末に登場したトロイの木馬「Trojan.Upchan」は、プライバシーをさらすというアイデア（？）を悪用した。

[小林哲雄，ITmedia]

　どんなジャンルであろうと、優れたアイデアは他の製品に流用、盗用されるのが世の常だ。だからこそ社会には特許制度があり、優れたアイデアを保護しているわけだが、アンダーグラウンドな世界に特許制度はない。

　脆弱性が見つかれば、その脆弱性を使った「悪用ソフト」が登場するのは半ば当然で、特に検証コードを流用したものはカラクリがわかっている分出回りやすい。その意味で現在Windowsマシンにおける最もホットなヤバさは「JPEGの脆弱性」であり、パッチを当てていない人は早急に対策しておかないと問題になるだろう。

　以下の話はそのJPEGの脆弱性とは無関係だが、日本で作成されたと強く考えられる新種のトロイの木馬「Trojan.Upchan」は、かつてWinnyユーザーを震撼させた「Anttiny.G」と同様、デスクトップというプライバシーを公共の目にさらけ出すものだ。そして、その掲載先はWinnyではなく「あぷろだ」と呼ばれる掲示板である。もしも感染した場合、自分のデスクトップ画像を、より広い範囲の他人に見られてしまう可能性がある。

「Anttiny.G」のアイデアを流用？

　Trojan.Upchan（これはシマンテックの命名であり、一部では「苺キンタマ」とも呼ばれている）は9月22日に登場したと見られる新種のトロイの木馬である。オリジナルは例によって、exeファイルをフォルダアイコンとファイル名に含んだ長いスペースでただのフォルダのように偽装し、「ウッカリ開く」テクニックでユーザーに実行させようとする。

　筆者はまだ十分な検証／確認を行っていないのだが、このトロイの木馬は現在実行中のデスクトップというプライバシーをさらけ出すという危険性を持っている。十分な解析結果が出ていないが、もしかしたらDDoS攻撃を仕掛けるなどの隠された機能が残っている可能性もあるが、今までに判明している情報を整理すると、以下のとおりだ。

• 発見日（≒問題になった）のは9月22日の夜。とある掲示板に写真集のアーカイブとして登録された。また、翌日には2つの亜種が追加発見されている
• オリジナルはフォルダアイコンを装ったexeファイルで、亜種ではテキストファイルアイコンの偽装も行われている
• 実行するとシステムフォルダに本体をコピー（オリジナルは「shellsystem.exe」）して、そのプロセスが実行される
• 二つのプロセスで実行され、お互いが消えると補完されるのでタスクマネージャーから消去しにくい（チェックプロセスが頻繁なのかマシンが重くなるという情報もあり）
• 8分毎にデスクトップ画像をコピーする
• 「あぷろだ」と称されるファイル掲示板（ここでは画像掲示板）に、そのスクリーンショットファイルをアップロードする（オリジナルは「私は苺で違法ダウンロードばかりしている犯罪者です」というタイトルで掲載される）。同時にコンピューター名とユーザー名も掲載され、メール欄には掲載回数も表示される

スクリーンショットがこのような形でアップロードされてしまう

• 巨大掲示板2ちゃんねるにアップロードを報告する投稿を行う（報告投稿に関しては、既に対策がとられている）
• 出現した9月22日の時点では未知のトロイの木馬であり、アンチウイルスソフトで検査しても反応なし

　シマンテックの詳細情報にはWinnyで広まると書かれているが、今回のTrojan.Upchanは掲示板に掲載されたのが初めといわれている。「さらけ出す場所」も画像掲示板であり、Winnyとは無関係だ。ただ、トロイの木馬本体は（面白半分か意図せずかは不明だが）P2P上に流れていた。

　デスクトップというユーザーのプライバシーをさらけ出すというアイデアは、今年3月末に出た「Antinny.G（通称：キンタマウイルス）」で使われたものだ。Antinny.Gの場合は、デスクトップ画像のみならずデスクトップにあるファイルまで公開されてしまい、チャット中の画面やチャットログ、あるいは内規に反して持ち出した捜査資料といった「当事者／関係者の人生を狂わせかねない」情報が公開されてしまった。

　今回はそれと比べると、公開されるのはスクリーンショットのみである。また、アップローダ上に掲載されたデータは24時間で（一応）見えなくなり、1週間で消去される。このため、意図的にファイルを消去するのが事実上困難なWinny上にデータを公開するAntinny.Gよりも、被害は深刻ではないと言うこともできるだろう。しかし、インターネットから誰でも公開画像を見ることができるため、かえって危険度が高くなっている面もある。既に「それなりに危ない画面」も散見される。

　この画像掲示板は、10枚分の画像が一ページに表示され、ページリンクが表示される形式だが、このリンク数は記事執筆時（23日〜25日にかけて）で常時800を超えていた。つまり、過去24時間のうちに8000枚もの画像がアップロードされていたというわけだ。「8分おき」という情報が正しい場合、24時間に一台のマシンが最高180枚の画像をアップロードすることになり、最低でも40台以上（44＞8000÷180）が感染中かつインターネット接続されているという計算になる。24時間付けっぱなしのマシンは少数なので、実際の感染数はその数倍と言ってよいだろう。

　2ちゃんねるへの投稿は制限されたが、9月27日の夜までアップローダへのファイル投稿は続けられ、アップローダの負荷は高いレベルにあった。

アンチウイルスベンダーの対応差も

　Trojan.Upchanは対象が一部とはいえ、掲示板をパンクさせるだけのパワーのあるトロイの木馬であり、掲示板を見れば感染者数も想像できる。こういった要因を踏まえれば、アンチウイルスベンダーには早急に対応してほしかった。

　しかしながらこの件に限って言えば、対応には差があったようだ。ただ、8月にお伝えした「かっとばせヌルポース」の教訓もあって、ユーザーからの未知検体の提出は、大手ベンダーには既に行われていたようだ。