ITmedia NEWS >

Sasserワームを作った犯人はほかにもいる?

» 2004年05月11日 11時21分 公開
[IDG Japan]
IDG

 Sasserワームの新たな亜種が出現したことで、「Sasserの唯一の作者を逮捕した」とするドイツ警察の主張に疑問が持たれているとウイルス対策専門家は伝えている。

 新たな亜種Sasser.Eは5月7日遅く、警察がSasserの全亜種とNetSkyワームを作成した容疑で18歳少年を逮捕したのと同じころに出現した。この容疑者が逮捕の直前に新亜種をばらまいた可能性はあるが、逮捕時刻とタイミングが近いことと、先のSasser亜種から得られた手掛かりから、ドイツ国外にもっと大きなウイルス作者のネットワークが存在する可能性が示されていると、フィンランドのF-Secureでウイルス対策研究マネジャーを務めるミッコ・ヒッポネン氏は語る。

 ドイツのニーダーザクセン州の警察は7日にこの少年を逮捕、5月1日に登場したSasserワームと、その後数日の間に出現した3種類の亜種を作成した容疑をかけている。

 この少年(身元は公表されていない)の逮捕のきっかけとなったのは、Microsoftのドイツ支社に、Sasser作者の情報と引き換えに報奨金が得られるかと問い合わせてきた複数の人物からの手掛かりだったと、同社の上級副社長兼顧問弁護士のブラッド・スミス氏は発表文で述べている。

 AP通信は10日付けの報道で、ドイツのハノーバー州警察の広報官フランク・フェデロウ氏の発言として、この少年が「逮捕の直前に」Sasser.Eを作成した可能性が高いと伝えている。

 Microsoftは、逮捕された少年がほかの亜種と同様にSasser.Eを作成し、逮捕とほぼ同時にばらまいたと考えているとスミス氏は説明している。

 「警察はSasser.Eとその前の4種を作成した人物を逮捕したと当社はとらえている」(同氏)

 同氏によると、Microsoftがこうした姿勢を取っている根拠は、ドイツ当局の発表文と、SasserとNetSkyに関する継続中の捜査にあるという。

 ウイルス対策専門家は、あり得る筋書きではあるが、その可能性は低いと主張している。

 「逮捕された容疑者がこの亜種を拡散させた可能性はある。しかしそうだとすれば、逮捕の直前、警察が容疑者宅を訪れる15分前にそうするしかなかっただろう」(同氏)

 しかしSasser.E登場のタイミングと、以前のSasserの亜種から得られた情報は、ほかにも複数の人物がSasserとNetSkyに関与している可能性を示唆しているとヒッポネン氏は指摘する。

 F-Secureは容疑者逮捕から10時間後にSasser.Eの存在を知ったが、その後の報告から、この亜種が最初に登場したのは逮捕から約3時間45分後だったという情報を得たと、同社のWebサイトには記されている。

 それでも3時間というのは、ワームがインターネット上に広まってから見つかるまでの時間としては長い。もっと早くからSasser.Eが出回っていたという報告がなければ、このタイムラグは、7日に逮捕された容疑者がSasserの唯一の作者であるという主張に疑問を投げかけるかもしれないとヒッポネン氏。

 「ドイツの容疑者だけが作者ではないという証拠として、ほかの人物が(この亜種を)ばらまいた可能性はある。あるいは、容疑者はSasserの全亜種ではなく一部の亜種を作成したのかもしれないし、誰かをかばうために容疑を認めたのかもしれない」と同氏。

 SymantecがSasser.Eのコピーを受信したのは、逮捕からおよそ2日後の9日午前1時(太平洋時間)だった。同社はまだDeepSight Alertセンサーネットワークからのデータを分析して、この亜種の最初の出現を特定しているところだとセキュリティ対策上級マネジャーのオリバー・フリードリヒ氏。

 同社には、Sasserに複数の作者がいるかどうかを判断できるほどの十分な情報はない。しかし7日の逮捕以前に、同社はSasserとNetSkyの亜種の数から、これらワームの背後にウイルス作成グループがいるのではないかとの疑いを持っていたという。

 F-Secureの研究者も、背後でグループが動いており、その拠点はおそらくはロシアにあると推測していた。

 「逮捕されたのが1人で、しかも場所がロシアではないことに驚いた」とヒッポネン氏。

 NetSkyとSasserの以前の亜種に埋め込まれたコメントの中には、チェコ共和国とロシアに触れる記述や、作者の「一団」に言及する言葉が見られる。NetSkyのコードの一部には、ロシア語のコメントもあったと同氏は説明している。

 「この一団はロシア語をしゃべらないとしても、少なくともワームにコメントを挿入する前に、多少なりともロシア語を学んでいる」(同氏)

 NetSkyが新しい亜種が登場するごとに進化していることからも、複数の作者が取り組んでいることがうかがえると同氏。

 「NetSkyの二次的な機能は変化している。初めは単にMyDoomとBagleを削除するだけだったが、徐々に変化してP2Pサイトや(ソフト)クラッキングサイトに分散サービス停止(DDoS)攻撃を仕掛けるようになった」(ヒッポネン氏)

 同氏は、この変化はさまざまな参加者の意見や関心を反映したものかもしれないとし、MSBlastワームがオリジナルの作者以外の手で改変されていったのと似ていると述べた。MSBlastに関しては亜種を作成した人物が2人逮捕されている。昨年8月にMSBlast.Bをばらまいた米ミネソタ州の少年ジェフリー・パーソンズ被告が、9月にはMSBlast.Fを作成したルーマニアの24歳の男性ダン・ドミトリ・チオバヌ被告が逮捕された。

 ドイツの容疑者は警察に自供しており、また警察が容疑者のコンピュータからSasserのソースコードを発見したとの報告もあるため、この容疑者が同ワームの作成と拡散に関わっていたことは確かに納得できるが、この人物がNetSkyとSasserの唯一の作者であるというのは確実ではないとヒッポネン氏は指摘する。

 「ほかの誰か――第三者――が関わっていることが明らかになったとしても、まったく意外ではない」(同氏)

 MicrosoftはSasserに関する調査を継続しており、他者が関与している可能性を軽視してはいないと同社のスミス氏は語る。

 「明らかに、情報はインターネット上で常に共有されている。当社は誰が(Sasserの)情報にアクセスしたのか、拡散に加担したのかを言える立場にない」(スミス氏)

 容疑者は逮捕されたが、疑問は残っていると同氏。

 「分からないことはいくつもある。誰がコメントを(ワームのコードに)挿入したのか――個人なのかそれともほかの誰かなのか、その動機は何か、といったことだ」(同氏)

 スミス氏は、さらなる逮捕者が出る可能性もあるが、Microsoftはドイツの警察がホシを挙げたと信じていると語る。

 「(調査が)ほかの人物にも行き着く可能性は常にある。だがそれは、亜種を作成した、あるいは最初に(ワームを)拡散した人物ではないと思う」(同氏)

 7日に逮捕された容疑者が本当に唯一の作者だった場合、ヒッポネン氏のように、次々と現れる亜種に対処するためここ数カ月間オーバーワークしているウイルス対策専門家は、大きく胸をなで下ろすことだろう。

 「この容疑者がNetSkyとSasserを作成したと自供し、それが本当であれば、これらワームはすぐに出回らなくなるはずだ。そうであれば素晴らしいのだが」(ヒッポネン氏)

Copyright(C) IDG Japan, Inc. All Rights Reserved.