「プライバシー晒しまくり」のトロイの木馬が残した教訓（2/2 ページ）

[小林哲雄，ITmedia]

　いち早く対応パターンを提供したのはシマンテック（編集部注：その前に既に、Computer Associatesが対応を行っていた）で、提供者の掲示板の書き込みによれば9月22日深夜までに検体提供が行われ、23日の夕方には解析レポートと暫定パッチが提供されたようだ。

　その時点でシマンテックのサイトには詳細情報が公開され、随時更新される「Intelligent Updater」で対応パターンの提供が開始された。今週（9月29日）には、LiveUpdateでのパターン更新が行われるとも書かれている。Winny系ウイルス／トロイの木馬であるAnttiny.GやNulpos（「かっとばせヌルポース」のシマンテック名称）の対応状況を見る限り、日本発ウイルスへの対応も迅速であったと言える。

　一方、トレンドマイクロのほうは25日の時点では、新たな対応リストにそれらしき名称が見られなかった（これも掲示板の情報によると、それ以前に検体の提供がなされていた模様だが、届出を受け付けた旨を知らせるメールは25日になってから届いたようだ）。過去の対応も合わせて評価すると「日本発のウイルス／トロイの対応が遅いよ」と言われる可能性は否定できない。

　同社は9月27日になって「TROJ_UPCHAN.A」として、対応を開始した。危険度・感染報告数はともに「低」だが、ダメージ度は「高」と判定されている。

　トレンドマイクロによると発見日は米国時間で9月25日となっており、やはり対応までの時間差が感じられる。その上、9月27日の時点でもなお、Web上に情報のないベンダーまであった……。ローカルなウイルス／ワームへの対策は頭の痛いところだろうが、一考を要したいところだ。

　というのも、オンラインスキャンの効果だろうが、トレンドマイクロのWebサイトに掲載されている感染数TOP 10リストにAntinny.A/Gがいまだに掲載されている。このことを考えると、日本限定ウイルスは、日本のユーザーへの影響は大きいと思うのだ。

　だがトレンドマイクロでは脅威度は低いと判断したのだろう。同社では、「発生して一気に感染が拡大するワーム型とは異なり、自己増殖しないトロイの木馬型は初期の報告が集中しにくい傾向があり、検体の入手や報告数にばらつきが多いため判断が難しいという特徴がある」とコメントしている。シマンテックもこのトロイの木馬の脅威度は低いと考えているようだ。23日の解析レポートを見ると、脅威度や感染者数はいずれも低い数値となっている。問題の画像掲示板がトロイの木馬による晒し画像で溢れている現状を把握していないのか、逆に「この程度の掲示数ではたいした被害ではない」と判断しているかは分からないが、まあ、世界的にみれば大したことではないのかもしれない。

　ウイルス検体の届出についてはもうひとつ、期待したいことがある。シマンテックは同社製品ユーザー以外でもウイルス検体提供が行えるが、トレンドマイクロはアクティベーションコードの入力が必須項目になっているため、正規ユーザー以外は検体提供が行えない（既に登録済みのはずなのに、氏名や電話番号の入力が必須となるのも解せない）。イタズラによる作業量増大という懸念もあるだろうが、広い収集手段の確保という観点でみると改善に期待したいところだ。

　なお、件の画像掲示板だが、9月27日の22時には新規登録が行えなくなった。今回のトロイの木馬が使用している掲示板はひとつだけなので、これで一応、今回の騒動は終了したと言える。

優れたアイデア＝亜種の予感？

　Trojan.Upchanは日本限定の脅威で、ややアングラ気味な掲示板に載ったプログラムの実行によるトロイの木馬に過ぎない、と言うこともできる。だが反面、冒頭に書いたとおり「良いアイデアは使われるもの」だ。この手のソフトが世界的に流行しないとは言い切れない。

　日本では多くの人が「引っかかっている」拡張子を偽装した実行ファイルという手法や、前の記事でお伝えしたような圧縮ファイルの脆弱性など、弱点パターンを組み合わせた「海外版亜種」が出れば、十分な脅威になる可能性があるといえるだろう。

　最近ではキーロガーによるユーザー名／パスワードの盗難が問題となっているが、場合によってはスクリーンショットの流出も、重要なデータの盗難につながる恐れがあるともいえる。今回「晒された画像」の中にも、業務データを扱うと思われるマシンが感染したと思しきスクリーンショットが含まれている。企業内マシンで感染した場合、損失は大きい（そもそも業務用PCでそのような怪しいファイルを扱うこと自体が問題だが）。

　今後も、最新の検知パターンを逃れ、さらなる攻撃方法を追加した危険な亜種が出る可能性は否定できない。現在、少なくとも二種類の亜種が確認されている（1つは画像投稿タイトルが「私は升ツールを使用しようとして　罠にかかりました」となり、2ちゃんねるへの投稿も別のカテゴリに行われる。もう1つは、テキストファイルを偽装するものだ）。これらの亜種は、シマンテックが23日に発表したパターンでは認識されなかったが、後日、一般的なTrojan.Horseとして登録されたようだ。

最新の定義ファイルでスキャンしてみたところ、亜種についても「Trojan.Horse」として検出

　今後はさらに、当人あるいはアイデアを盗用した第三者による亜種も登場しかねない。また、「機能強化」が図られる恐れもある。コードの中を見ると「multipart」「boundary」といった文字列が残っており、作者がメール送信機能を想定していた痕跡がある。誰が見るかわからない掲示板も脅威だが、当人のアドレス帳に載っているメールアドレスにこのような画像データがバラ撒かれた場合、深刻度は格段に上がる。

　こうなるとやはり、最後に頼るのは「怪しいファイルは実行しない」というユーザー自身の判断となる。

　現在のトロイの木馬はその行動内容もさることながら、「実行させる方法」が重要となっている。逆に言えば、実行さえしなければトロイの木馬はまったく脅威ではない。

　この手の記事では繰り返しになるが、ともかく危険そうなファイルは実行せず、ファイル表示オプションで「『すべてのファイルの拡張子を表示』に設定する」ことにより、危険度を大幅に減らすことができる。また、いたずらにトロイの木馬を恐れるのではなく、一般的かつ基本的な対策方法を講じ、加えてこまめに情報収集を行っておくことが、危険を抑える最高の手段になるだろう。