マルウェアもオープンソースの時代？ ソースコードの手厚いサポートも

誰でも比較的簡単に入手できるマルウェアのソースコードは、パッケージ化され、コミュニティも充実していて、テクニカルサポートも提供されている――。シマンテックは、マルウェアの亜種多発の背景にオープンソース化の傾向があると指摘する。

[谷川耕一，ITmedia]

　「マルウェアの世界にもオープンソースのようなコミュニティが出来上がってきた」。こう指摘するのは、米Symantecのセキュリティレスポンス EMEA／JAPAC地域担当シニアマネジャーのケビン・ホーガン氏だ。2005年はワームの大規模アウトブレークは少なかったが、依然マルウェアの増加傾向は続いている。それも完全なオリジナルの新種ではなく、亜種の多発による。ソースを誰でも容易に手に入れることができるのが主な原因だが、中には「テクニカルサポートが付ついてくる」ようなものも出回っているという。

米Symantec セキュリティレスポンス EMEA／JAPAC地域担当シニアマネジャーのケビン・ホーガン氏

　新生シマンテックのプライベートカンファレンス「Symantec VISION＊Xchange 2005」で、同社はプレス向けに「2005年のマルウェアの傾向の解説を行った。

　ホーガン氏によると、あいかわらずマルウェアは増加傾向にあるが、今年は大規模な発生は5件と少ない（2004年は30件だった）。その5件も「技術的にはたいして新しいものはない」という。その一方で、亜種が爆発的に増えているのが大きな特徴だ。これは、マルウェアのソースコードが誰でも比較的簡単に入手できることと、マルウェアのバイナリを圧縮して外見を変えた亜種を作れるパッカーというツールが流通しているためだ。

　マルウェアの中でも特に亜種を増加させているのは、Gaobot、Randex、Spybotの3種類のボットだ。2004年の上半期にはそれぞれ1104種類、1167種類、893種類が確認されているが、2005年上半期には、1121種類、2412種類、Spybotにいたっては6361種類と飛躍的に亜種を増加させている。

　その理由として、ホーガン氏が指摘するのが「オープンソースのマルウェア」だ。自由に入手できるマルウェアのソースコードは、パッケージ化され、コミュニティも充実していて、テクニカルサポートも提供されているというのだ。Web上の掲示板を利用し、ソースコードの利用方法に関する質問に対し瞬時に返信があるともいう。そのサポート体制は、市販のソフトウェアより手厚いくらいだ。

　ホーガン氏が例として示したGaobotの場合では、マルウェアパッケージとして、「Microsoft C++プロジェクトファイル」「ReadMeファイル」「テスト設定情報」「To Doリスト」「免責事項」「GPL（GNU Public Licenses）」が含まれており、しかもプライベートバージョン作成の宣伝するファイルまでもが含まれていたとのこと。

　これら最近のマルウェアは、特徴としてキーロギングやスクリーンショットの捕捉、クリップボードのモニタリング、Webcamのコントロールなどの機能を備えており、クレジットカード番号などの情報を盗み、第三者に転売するなどして、金儲けをしようという目的が見てとれるという。

　また、DDoS攻撃（Distributed Denial of Service attacks）機能も搭載し、実際にヨーロッパではオンラインカジノのサイトを使用できなくするという恐喝が同時多発的に行われていたことも分かった。「数社あるうちの1つのサイトだけがこのことを警察に届け出たところをみると、他のサイトはおそらくお金を払ったのではないか」と同氏。また、ラテンアメリカで銀行系のフィッシングサイトが多数出現し、これによる被害も拡大している。「これらがボットネットのオーナーの収入源になっている」。

　今後、特定の地域やターゲットを絞った種類や、ターゲットになった組織がその活動自体に気付かないとなど、セキュリティベンダーのレーダーに探知されない活動が増加することが危惧される。シマンテックでは、これらの対応に引き続き注力していくとのことだが、同社にとってもこれは大きな課題でもあるとした。