「晒しは一線を越えた」、新種のトロイの木馬Winnyで出回る（2/2 ページ）

[小林哲雄，ITmedia]

　ここで重要なのは、IEのお気に入りに加えてOutlook Expressのメール（データファイル）を公開してしまうという点だ。こうなると、被害は極めて深刻だ。何せメール本文がそのまま、Winnyに放流されてしまうことになるのだから（ただし、「Upchan」とは異なりアップローダへの晒しは行わないようだ）。ただ、確認した範囲では共有に至ったユーザーは少なく、発動条件が限定されていることが伺える。

実際に流出したデータの一部。Outlook Expressのフォルダが丸ごと含まれている

亜種や便乗ファイルも登場、「ウイルススキャン」も万能ではない

　「新種のトロイが出ているのでは」と2チャンネル上で騒がれだしたのが10月31日で、現在までに3種類、CRC32が異なるウイルス本体の収集ができた。ウイルス本体のタイムスタンプが正しいと判断すると、亜種は既に複数存在していることになる。

　現時点までに収集できた中で最も古いもののスタンプは「04/10/22」で、これによる被害画像については10月23日のものが確認できている。流出画像のタイミングから、これがオリジナルと想定される。これは日時のパターンに秒を含み、何らかのインストーラ（InstallShield）を偽装していたようだ。

　これに対し、残る二つのタイムスタンプはそれよりも後の日付になっている。加えて本体は、汎用インストーラではなく、特定ゲームのインストーラに偽装（ゲームのアイコン）されていた。単なるリソースの変更だけでなく、細かな変更も加えられている。

　今回のトロイの木馬は、以前の記事で紹介したような「フォルダに偽装したexeファイル」をクリックさせる、というユーザーのウッカリを誘うテクニックを利用しているわけではない。「インストーラ形式」を装い、非常に狭い範囲で流されている。

　自己増殖型のワームでなく、アプリケーションソフトのインストーラという形で、非常に限定されたシチュエーションで流通しているとなると、対策ベンダー各社が検体を入手し、分析し、パターンファイルが出揃うまでには時間がかかると言ってよい。実際、このトロイの木馬の件が2ちゃんねるで騒がれるまでに一週間、パターンファイルが出るまでにはそこからさらに数日を要している。

　しかも、Winnyに流出したデスクトップ画像の中には、アンチウイルスソフトのスキャンを行っている最中の画像が多数見つかっている。おそらく感染者は、「何かおかしなことが起きている。ウイルスに感染したのかもしれない」と感じてスキャンを行っていたのだろう。しかしそれも、パターンファイルが対応していなければ意味のない行為だ（その前にまず「LANケーブルを引っこ抜け」「Winnyを停止しろ」と言ってあげたい気もするが……）。

　アンチウイルスソフトには「未知のウイルスにも対応する」機能も用意されている。しかしたいていは誤検知を恐れ、検出レベルを下げた形が標準となっており、パターンファイルが提供されなければウイルスへの対応は万能とはいえないのが実情だ。

　また、アンチウイルスベンダーを含むネットワークセキュリティ企業の中には、脆弱性や攻撃に対抗するため、「センサーネットワーク」と呼ばれる一種のハニーポット群を設置して、早期の情報収集に努めているところもある。だが、こうした観測網の対象に、WinnyやShareといった国産P2Pソフトは含まれているだろうか？

　そもそも、P2Pソフトで流れるデータの中からウイルスコードを収集する作業は、分析にかかる手間を考えるとあまり実用的とはいえない。日本ローカルなソフトに関しては、さらに手間と成果のギャップが大きく、あまり監視は行われていないのではないかと推測している（ベンダーの反証をお待ちしている）。

　実はちょうど、別の雑誌の企画でアンチウイルスソフトのテストを行ったばかりだ。事前に十分な量と質のウイルスを揃えることができず、Antinny系のトロイの木馬を用いてテストを行ったのだが、これらを100％検知できた対策ソフトはなかった（ただし各ソフトの検出結果を総合すればすべてが検知されているため、収集したコードが「偽コード」である可能性は低い）。

　きわめて狭い範囲で拡散し、限られたターゲットを狙うウイルスやワームは、結果としては広範囲に影響を及ぼす脅威とは言えない。したがって、NetSkyやBagleといったワームに比べると、対応はどうしても後手に回る。アンチウイルスソフトを過信せずに不審な動きを判断するか、そもそも「危きに近寄らず」の精神で対処するのが、マルウェアから身を守る最善の手法だろう。