エンタープライズ:ニュース 2003/12/26 23:32:00 更新


年の瀬の憂鬱――2003年のウイルスワースト10に見る「受難の1年」

複数のセキュリティベンダー/団体がこの1年の総括を発表した。いずれもMSBlastやSlammerなどの蔓延を挙げて「忘れがたい年」「最悪の年」とまとめている。

 いよいよ年の瀬を迎えた今週、いくつかのセキュリティベンダー/団体から、この1年で最もインパクトのあったセキュリティインシデントに関する発表が行われた。いずれの総括でも、大規模なワーム被害が相次いだこの1年を「忘れがたい年」「最悪の年」と表現している。

 中でも業界に大きなインパクトを与えたのは、Windows RPCに存在したセキュリティホールを突いて感染し、大きな被害を与えたウイルス「Blaster(MSBlast)」だ。NRA(ネットワークリスクマネジメント協会)が発表した「2003年のセキュリティ十大ニュース」では、「Blasterウイルス、脆弱なPCを攻撃」が第1位に挙げられたし、シマンテックやトレンドマイクロによる今年の総括においてもBlasterの猛威に対する言及が見られた。

 ところが意外なことに、2003年に報告されたウイルス/ワームのワースト10を見てみると、首位はBlasterではないのだ。

順位シマンテック(世界合計)トレンドマイクロ(12月15日まで、日本国内)
1位Bugbear.BKlez
2位Klez.HNachi
3位Redlof.ARedlof
4位HybrisMSBlast
5位Sobig.FSwen.A
6位BlasterBugbear
7位Swen.AOpaserv
8位Nimda.EFortnight
9位Bugbear.BDluca
10位Sobig.AIstbar

 もちろん、届出件数だけで被害の多寡を判断することはできないが、この順位表からはいくつかの傾向を見て取ることができそうだ。

 1つは、既にウイルス対策ベンダー各社が声を揃えて指摘するところだが、2〜3年前から猛威を振るい始めた大量電子メール送信型のワームに加え、既知のセキュリティホール、特にWindowsプラットフォームのセキュリティホールを悪用し、ユーザーがそれと気付かないうちに感染を広めるタイプのワームが目立ってきたことだ。中にはその両方の性質を兼ね備えたものも見られる。

 また、いわゆる大量電子メール送信型のワームにも進化が見られる。

 いまだに多くの報告が見られるBugbearは、単に自分自身を広めるだけでなく、感染したコンピュータが金融機関のものかどうかを確かめ、そうである場合はシステムからパスワードなどを収集し、特定の電子メールアドレスに送信しようと試みるワームだ。ウイルスやワームが端末の挙動に影響を与えるだけでなく、機密情報/個人情報を侵害する可能性が明らかになった。

 一方Swenは、「I Love You」のように、表題や本文でユーザーの心理を突く古典的なワームとはやや異なり、マイクロソフトのロゴやフォーマットを借用し、あたかも同社から送られたメールのように見せかける。ちなみに、ワームではないのだが、同じように視覚的にユーザーをだまし、あたかも商用サイトから送られたメールのように見せかけてユーザーの情報を奪おうとする「フィッシング詐欺」が、クリスマスシーズンに入ってから激増していると言われる(12月25日の記事参照)。今後ユーザーには、メールの送り主や見かけにだまされることのないよう細心の注意が求められるだろう。

 この1年はまた、ワームによる影響がユーザー個々の端末だけにとどまらず、インターネット自身も含めたわれわれの生活を支えるインフラに及ぶことが明らかになった。前述のNRAによるセキュリティ十大ニュースで2位にランクインしたのが「わずか376バイトのSlammerにネットワーク混乱」だが、このワームは瞬時に全世界に広がり、ネットワークの輻輳を引き起こした。またBlasterやNachiは航空会社や鉄道、ATMシステムなどに影響を及ぼしたうえに、明確な証拠こそないものの、北米で発生した大停電の有力な容疑者として浮上している。

 各社はこうした傾向を分析した上で、セキュリティホールを悪用したウイルス/ワームに対する注意を怠らないことが必要だと指摘。さらに、ゼロ・デイ状態における攻撃やスパムメールとウイルスの連携、日本語によるウイルスや携帯電話をはじめとするモバイル機器をターゲットとしたウイルスなどに注意が必要だと述べている。

 もう1つ、あまり触れられていないことに注目してみたい。上記に挙げたウイルス/ワームのワースト10のうち、上位に挙げられたBugbearにしてもKlezにしても、2003年になって初めて登場したものではないのだ。今年流行したのは「亜種だから別物だ」と見ることもできるが、根強く蔓延しつづけるワームは確実に存在している。これは何を意味するのか。

 先日には警視庁が、SlammerやBlasterが感染を広めるために吐き出していると思しきパケットの送信元に対し、直接注意を呼びかける活動を開始した(12月24日の記事参照)。その背景には、感染活動によるものと思われるトラフィックが一定レベルをずっと維持しつづけており、根治に向かわない現状があるという。

 つまり、これだけメディアでワームのことが騒がれてもなお、自分のマシンが感染していることに気付かないユーザーが一定数存在する、ということになる。そう考えていくと、こんな記事など目にもとめないであろう数多くのユーザーに対してもセキュリティ対策を呼びかけ、ウイルス対策とパッチの適用を確実に行ってもらうことがますます必要になるのだが……。

 F-Secureでウイルス研究所長を務めるミッコ・ヒッポネン氏の「残念ながら2004年も忙しい年になりそうだ」というコメントは、本当になってしまうのだろうか。

 この記事ではワームに視点を当てたが、問題はウイルスやワームだけではないし、技術的な議論だけでなく、政策や教育、さまざまな側面からの取り組みが必要になっている。そうしたことにまで考えをめぐらせていくと憂鬱にならざるを得ない年の瀬なのである。

関連記事
▼Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼シマンテック
▼トレンドマイクロ
▼日本エフ・セキュア
▼ネットワークリスクマネジメント協会

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -