News:アンカーデスク 2002年7月23日 06:10 PM 更新

Code Red警報から1年、ウイルスはどう変わった?

今後はウイルスの「バージョンアップ」が行われるようになるかもしれない。また、独自の通信チャネルを通じてワクチンを回避するウイルスの登場も近い……?
顔

 Code Redワームが全米をパニックに陥れ、Microsoftと米連邦捜査局(FBI)が共同記者会見を開いて警戒を呼びかけるまでの事態に至ってから、ちょうど1年が経つ(2001年7月の記事1記事2参照)。あれからの1年間、どんな変化があっただろう? SecurityFocusでネット攻撃を専門に扱うシニアアナリスト、Ryan Russell氏によると、インターネットワームはCode Redの登場以降、はるかに強靱さを増したという。これは良い兆候ではない。ウイルス対策ソフトがこうした変化すべてに追いついているわけではないからだ。

 今年は、年初からこれまで、私たちは割合ラッキーだった。SirCam、Code Red、Code Blue、Nimadaといった“大物”がネットを大混乱に陥れた昨年に比べ、今年新たに登場したワーム/ウイルスの数はさほど多くない。私は昨年、ウイルスについての記事を60本書いたが、今年はまだ20本だ。年半ば過ぎであることを考えると、今年の新ウイルスの数は昨年より3割ほど減っていることになる。

 先月サンフランシスコで開かれたNetSec 2002で、Russell氏は、今日のワームの多くは既知の脆弱性を利用していると述べた。つまり、ソフトウェアの既知の脆弱性にパッチを当てていれば、再感染は防げるし、ワーム拡散の片棒をかつぐこともない。例えば、最近登場したワーム、Frethem.k(7月16日の記事参照)は、Internet Explorer(IE)のMIMEヘッダとIFRAMEの脆弱性を悪用する形のものだが、これらの脆弱性はMicrosoftが昨年、セキュリティ警報MS01-020でパッチ発行を通達済みだ。

 一方、Code Redは、MicrosoftのInternet Information Server(ISS)のインデックスサーバのバッファオーバーフローの問題を利用している。この問題はCode Redが蔓延を始める1カ月前に発見されていた。

 Russell氏は、今後は新たな脆弱性が公表されてから、その脆弱性を悪用するワームが登場するまでの間隔が、短くなっていくだろうと見ている。近いうちに、一般の人たちに脆弱性についての情報が届くのは、その脆弱性を利用する新たなワームが登場するのと同じ日になるだろうという。このようなワームを「0-Day Worm」と呼ぶ。

 もう1つの傾向として、以前に登場したワームを機能拡張する形のワームが増えている点が挙げられる。例えば、NimdaはCode Red IIに感染済みのサーバを標的にするワームだったし(2001年9月の記事参照)、Leavesワームは、トロイの木馬のSubSevenに侵されたPCを探し出そうとした(2001年6月の記事参照)。加えて最近のワームには縄張り意識があるようだ。Code Red IIでは、感染システムをリブートするとCode Red Iは消えた(2001年8月の記事参照)。Code Blueは、Code Red IIのインスタンスを終了させている(2001年9月の記事参照)。

 ウイルス作者はまた、ソフトに施される修正を迂回する術も学んでいる。WindowsのデフォルトSMTPサーバを利用するSirCamのようなデスクトップワームは、Outlookの新たなセキュリティ設定を迂回することができる(2001年7月の記事参照)。これらのワームはOutlookのアドレス帳(現在、保護機構が備わっている)も迂回し、代わりにIEの一時キャッシュ領域にあるファイルなどからメールアドレスを取得する。

 だが、今後もっと事態が悪化する可能性もある。私たちが今日、目にしているワームは、ファイルやハードディスクを破壊するための爆弾までは背負い込んでいないからだ。

 今後注意すべきは、外国語で書かれたスパム(迷惑メール)だろう。これらスパムにワームが含まれている可能性がある。こうしたメールには、ウイルス感染メールでお馴染みの巧妙な件名や添付ファイルが付いていないため、ワームだとは思わず、到着時に実行してしまう恐れがある。もはや英語がインターネットワームのデフォルト言語でなくなったのは明らかだ。SirCamとHybris/SnowWhiteは、いずれもマルチ言語となっている。

 将来的にウイルス作者は、ワームをネットに放った後でも、そのコードをコントロールするようになるかもしれない。現状では、ウイルス作者がワームをアップグレードしようと思ったら、オフラインで手を加えた上で、修正後のワームを再びネットに放つ必要がある。だがRussell氏は、今後はバックドアを含んだワームが増え、作者がこのバックドアを経由して適宜修正コードを送り込み、ウイルス対策ソフトを回避したり、ワーム機能を強化したりするようになるだろうと見ている。

 Ressell氏はさらに、ワームがファイル交換ネットワークのような独自の通信チャネルを構築するようになる日が来るかもしれないと見ている。ワームが学習機能を備え、非公開のインターネットリレーチャット(IRC)を介してネット上の同胞に、最新コードを送り渡すといったことが可能になるかもしれない。そうなれば、これを助けに、ウイルス対策ソフトを回避したり、破壊力を強めていったりすることが可能だろう。

 Russell氏は、現行のウイルス対策ソフトは間もなく、これら進化型のワームに対して歯が立たなくなるだろうと結論付けている。今でも多くのウイルス対策ソフトメーカーが採用しているパターンマッチングのアプローチは、1980年代初期のウイルスをもとに考え出されたもので、今では時代遅れとなっている。OkenaのStormWatchなど、一部には、悪質なコードの動きを監視して最新のワームに対処する機能を備えた製品もある。だがこの手のアプローチはエンタープライズ製品では一般的だが、エンドユーザー向けに設計されたウイルス対策ソフトには、まだ降りてきていないのが実情だ。

原文へのリンク

関連記事
▼ Klezの感染拡大をとめるのは誰?
▼ “Klez台風”、依然として勢力衰えず
▼ 上半期のウイルス届出件数は前年同期の1.2倍に IPA
▼ 「日本語ウイルス」作者からの手紙
▼ ウイルスの感染ペースが昨年の2倍に
▼ 「危険度=低」のJPEGウイルスに不吉な予感
▼ ウイルス作者は5月病にかかりやすい?
▼ KlezにCIHウイルスが付いてくる
▼ ウイルス1つに数百の亜種
▼ Klez、感染率でSirCam、Nimdaを超える
▼ 懸念すべきウイルス動向は――トレンドマイクロがセミナー
▼ 日本語Subjectのウイルス、やはり作者は日本人?
▼ 2002年のウイルス展望──“複合型”がメインストリーム

[Robert Vamosi, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.