Confickerワーム亜種に再拡散の予兆：攻撃者の狙いとは

Confickerの新しい亜種に再びワーム機能が実装され、感染拡大する可能性がある。

[國谷武史，ITmedia]

　Windowsの脆弱性（MS08-067）を悪用するConficker（別名Downad）ワームによる感染被害が再び拡大する恐れがあるとして、米Symantecなどが警戒を呼び掛けている。

　Confickerワームは、WindowsのServerサービスの脆弱性を悪用して感染を広げている。最初に確認された「A」は、ローカルネットワーク上のマシンに対して感染を広げたが、その後登場した亜種の「B」では、リムーバブルメディアでも感染を広げられるようになった。感染規模はセキュリティベンダーによって見解が分かれるものの、最盛期となった昨年末から今年始めにかけて、数百万台のPCに広がったとみられている。

　その後登場した亜種の「C」は、Bに感染したマシンのみに感染することが確認され、米Symantecによればユーザー側でセキュリティパッチの適用などが進んだことから、感染規模が縮小していた。しかし、4月8日ごろからCに感染したマシンにおいて、スパム配信機能や再びWindowsの脆弱性を突いて拡散する機能を実装していることが確認された。同社では、これをConfickerの新たな亜種「E」に指定した。

　セキュリティレスポンスチームのシニアマネジャー、ケビン・ホーガン氏は、「ユーザー側の対策が進み、現在の感染規模は数万台程度とみられるが、攻撃者側は感染マシンの再拡大を狙っているようだ」と指摘する。

　亜種のEが実装したスパム配信機能は、スパム配信などに悪用されているボット型マルウェア「Waledac」とみられ、Trend MicroはConfickerワームを仕掛けた攻撃者とWaledacを利用する攻撃者が何らかの連携を図っている可能性があると分析している。

　ホーガン氏は、近年のセキュリティの脅威が潜在化する傾向にある中で、大規模な感染活動を繰り広げるConfickerは極めて特殊なケースと指摘する。

　「恐らく、攻撃者は何らかの理由で短期間にボットマシンを大量に確保する必要性に迫られ、ワーム形式で感染拡大を図っているのではないか。その後、スパム配信者などにレンタルするなどの目的でビジネスを行っているのかもしれない」（同氏）。しかし、真の狙いが別にある可能性も捨てきれないという。

　同氏はまた、Conficker問題に対処する目的でセキュリティ企業各社やMicrosoftなどが連携したプロジェクトを参考に、今後はセキュリティの脅威へ恒常的に対処していく企業間連携も重要になると指摘している。

過去のセキュリティニュース一覧はこちら