「晒しは一線を越えた」、新種のトロイの木馬Winnyで出回る (2/2)
ここで重要なのは、IEのお気に入りに加えてOutlook Expressのメール(データファイル)を公開してしまうという点だ。こうなると、被害は極めて深刻だ。何せメール本文がそのまま、Winnyに放流されてしまうことになるのだから(ただし、「Upchan」とは異なりアップローダへの晒しは行わないようだ)。ただ、確認した範囲では共有に至ったユーザーは少なく、発動条件が限定されていることが伺える。
実際に流出したデータの一部。Outlook Expressのフォルダが丸ごと含まれている亜種や便乗ファイルも登場、「ウイルススキャン」も万能ではない
「新種のトロイが出ているのでは」と2チャンネル上で騒がれだしたのが10月31日で、現在までに3種類、CRC32が異なるウイルス本体の収集ができた。ウイルス本体のタイムスタンプが正しいと判断すると、亜種は既に複数存在していることになる。
現時点までに収集できた中で最も古いもののスタンプは「04/10/22」で、これによる被害画像については10月23日のものが確認できている。流出画像のタイミングから、これがオリジナルと想定される。これは日時のパターンに秒を含み、何らかのインストーラ(InstallShield)を偽装していたようだ。
これに対し、残る二つのタイムスタンプはそれよりも後の日付になっている。加えて本体は、汎用インストーラではなく、特定ゲームのインストーラに偽装(ゲームのアイコン)されていた。単なるリソースの変更だけでなく、細かな変更も加えられている。
今回のトロイの木馬は、以前の記事で紹介したような「フォルダに偽装したexeファイル」をクリックさせる、というユーザーのウッカリを誘うテクニックを利用しているわけではない。「インストーラ形式」を装い、非常に狭い範囲で流されている。
自己増殖型のワームでなく、アプリケーションソフトのインストーラという形で、非常に限定されたシチュエーションで流通しているとなると、対策ベンダー各社が検体を入手し、分析し、パターンファイルが出揃うまでには時間がかかると言ってよい。実際、このトロイの木馬の件が2ちゃんねるで騒がれるまでに一週間、パターンファイルが出るまでにはそこからさらに数日を要している。
しかも、Winnyに流出したデスクトップ画像の中には、アンチウイルスソフトのスキャンを行っている最中の画像が多数見つかっている。おそらく感染者は、「何かおかしなことが起きている。ウイルスに感染したのかもしれない」と感じてスキャンを行っていたのだろう。しかしそれも、パターンファイルが対応していなければ意味のない行為だ(その前にまず「LANケーブルを引っこ抜け」「Winnyを停止しろ」と言ってあげたい気もするが……)。
アンチウイルスソフトには「未知のウイルスにも対応する」機能も用意されている。しかしたいていは誤検知を恐れ、検出レベルを下げた形が標準となっており、パターンファイルが提供されなければウイルスへの対応は万能とはいえないのが実情だ。
また、アンチウイルスベンダーを含むネットワークセキュリティ企業の中には、脆弱性や攻撃に対抗するため、「センサーネットワーク」と呼ばれる一種のハニーポット群を設置して、早期の情報収集に努めているところもある。だが、こうした観測網の対象に、WinnyやShareといった国産P2Pソフトは含まれているだろうか?
そもそも、P2Pソフトで流れるデータの中からウイルスコードを収集する作業は、分析にかかる手間を考えるとあまり実用的とはいえない。日本ローカルなソフトに関しては、さらに手間と成果のギャップが大きく、あまり監視は行われていないのではないかと推測している(ベンダーの反証をお待ちしている)。
実はちょうど、別の雑誌の企画でアンチウイルスソフトのテストを行ったばかりだ。事前に十分な量と質のウイルスを揃えることができず、Antinny系のトロイの木馬を用いてテストを行ったのだが、これらを100%検知できた対策ソフトはなかった(ただし各ソフトの検出結果を総合すればすべてが検知されているため、収集したコードが「偽コード」である可能性は低い)。
きわめて狭い範囲で拡散し、限られたターゲットを狙うウイルスやワームは、結果としては広範囲に影響を及ぼす脅威とは言えない。したがって、NetSkyやBagleといったワームに比べると、対応はどうしても後手に回る。アンチウイルスソフトを過信せずに不審な動きを判断するか、そもそも「危きに近寄らず」の精神で対処するのが、マルウェアから身を守る最善の手法だろう。
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
オンラインムック Special
- PR -Special
- PR -Special
- PR -ITmedia転職・求人 今週の特集
新着記事
- 最新プロセッサ対応のPowerEdgeシリーズ9種を発表 デル(5月24日 18時57分)
- PCI Express機器をイーサネットでつなぐ「ExpEther」、NECが商用化(5月24日 18時21分)
- 「Googleは特許侵害していない」 Android−Java訴訟、Oracleに不利な陪審員評決(5月24日 18時17分)
- Windows 8は起動が速過ぎてブートオプションメニューを出せない?(5月24日 17時37分)
- 油圧機器大手のKYB、堅牢さ求めIT基盤をデータセンター移行(5月24日 16時03分)
- 全プラットフォームでマルウェアが急増、日本はボットネット感染も増加――McAfee報告書(5月24日 15時54分)
- Oracle、ソーシャルマーケティングツールのVitrueを買収(5月24日 15時43分)
- SAPPHIRE NOW 2012 Orlando Report:多彩なゲストスピーカーも 写真で振り返るSAPPHIRE(5月24日 15時42分)
- バッファロー、Xeonプロセッサ搭載のハイエンドNAS製品を発売(5月24日 14時27分)
- 日本HP、北九州にデータセンターを開設(5月24日 14時16分)
- ケーズHD、基幹システム統合にOracle Exadataを採用(5月24日 13時55分)
- Facebookの下方修正を隠した? 株主がIPOをめぐって提訴(5月24日 13時19分)
- 人生はサーフィンのように:ストレス社会との付き合い方(5月24日 12時00分)
- 米Yahoo!、“検索ブラウザ”の「Axis」をPCとiOS向けに公開(5月24日 11時20分)
- iOS向けGoogle検索アプリがアップデート iPhone版もデザイン刷新(5月24日 09時26分)
- 松岡功のThink Management:「思いやり経営」のススメ(5月24日 08時00分)
- ホワイトペーパー:全日本空輸(ANA)など大手8社に学ぶ、全社の課題解決事例(5月24日 08時00分)
- Microsoftの月例更新プログラムで一部に不具合の報告あり(5月24日 07時31分)
- HP、2万7000人のリストラを発表 3期連続の減収減益(5月24日 07時25分)
- Google、検索結果でマルウェア感染マシンに警告(5月24日 07時15分)
アクセストップ10
節電お役立ち情報(スマートジャパン)
ITmediaはアイティメディア株式会社の登録商標です。