Stormワームの嵐がIMを襲う

スパムを介して広がったStormワームに、IM経由で拡散する亜種が生まれた。

[Brian Prince，eWEEK]

　1月に大きな被害をもたらしたStormワームは、ユーザーを攻撃する方法において新たな境地を開いた――それはインスタントメッセージング（IM）だ。

　世界中に多数のスパムを送信したこのワームは、AOL Instant Messenger（AIM）、Google Talk、Yahoo! Messengerを利用して拡散する新たな亜種を生み出した。このワームは誰かがチャットをしているのを検知し、第一段階のマルウェアを仕込んだサイトへのリンクを含むメッセージを送信する。ユーザーがこのリンクをクリックすると、第一段階の攻撃が実行される。

　「このマルウェアはP2P型ボットネットを操り、ネットワークに定期的に新しいコマンドを送り込む。このプログラムが最初に実行することの1つが、感染したマシンに幾つかの実行可能ファイルをダウンロードするよう指示することだ」と米Arbor Networkのソフト・セキュリティエンジニア、ジョーズ・ナザリオ氏は説明する。

　「これらの実行可能ファイルには、アップデートされたバイナリと、分散型サービス拒否（DDoS）攻撃、スパム、その他の拡散機能に使われるほかの幾つかのコンポーネント、マルウェアの存在を隠すrootkitが含まれる。ボットネット運営者はファイアウォールやフィルターに検知されないために、絶えずマシンを新しいネットワーク構成に移している」（同氏）

　Stormワームは「これってあなたのこと？」といった無害なメッセージとしてチャット中に登場する。

　「平均的な攻撃よりも明らかに巧妙だ」とSymantecのセキュリティ対策ディレクター、デビッド・コール氏は語る。「かなり説得力がある」

　このワームが先月Stormというニックネームで呼ばれていたのは、欧州で起きた暴風雨に関連する件名のついた電子メールを介して広がったからだ。

　さらにこのワームは、反スパムサイト、さらにはライバルのマルウェアを支援するサーバを標的にDoS攻撃を仕掛けるとナザリオ氏は言う。マルウェアが互いに攻撃しあうのは一般的ではないが、過去にもあったと同氏は語る。Stormワームと大量メール送信型ワームWarezov-a――感染したコンピュータ上のメールアドレスに自身を添付ファイルとして送る――の抗争は、過去のマルウェア同士の抗争よりも外部に影響を及ぼしていると同氏は指摘する。

　「感染したマシンを狙う代わりに、これらワームの作者は互いの拠点へのDDoS攻撃を選んでいる。彼らはまた、Spamhausなどの反スパムサイトや犯罪対策の取り組みに大きな影響を与えるDDoSを仕掛けてきた。StormとWarezov-aの2つのマルウェアネットワークは、明確にスパムのために構築されているようだ。だから反スパムサイトは、これらのスパム送信の取り組みに打撃を与える上で大きな役割を果たしている」（同氏）

　IMを使ったマルウェア攻撃は過去数年間にわたって増加している。セキュリティソフトメーカーAkonix Systemsの調査報告で、2006年の新たなIMベースの脅威は406件と、前年同社が発見した347件よりも増えたことが明らかになっている（1月5日の記事参照）。同社の担当者は、2007年もこの数は増えると予測している。

　ナザリオ氏は、IMを標的とするワームの数は頭打ちになったようだと語る。しかしその代わりに、IMを使って拡散する方法を知る、複数の攻撃ベクトルを持つワームが出現している。

　PCユーザーがIMシステムを狙うマルウェアから身を守る方法は多数ある。まず、友だちリストに載っていない相手からのメッセージを無視するようIMクライアントを設定するべきだとナザリオ氏は言う。次に、電子メールと同じセキュリティ慣行――一方的に送りつけられてきたメールを怪しむ――を実施すべきだ。

　「時には、リンクを再送するよう頼むだけで、メッセージを送ってきた相手が人間ではなく機械だということを十分見分けられる。これは最も単純な攻撃、つまりソーシャルエンジニアリング攻撃を防ぐ役に立つ」（同氏）

原文へのリンク