ウイルスというのは、最も熱心に最新のテクノロジが導入される分野の1つだ。その例(悪例?)がAntinnyであり、Nullporceである。
IT業界には新テクノロジが次々と登場する。そうした目先の効いたテクノロジを「あこぎ」なまでに導入する分野の1つに、ウイルス業界(?)が挙げられるだろう。
多くのアンチウイルスソフトが提供されており、セキュリティ強化をうたい文句にしているWindows XP Service Pack 2(SP2)では半ば強制的にアンチウイルスソフトの導入が「推奨」される。そんな状況の中でウイルスなり、トロイの木馬を実行させるには、作り手側の「努力」が必要だ。
つまり、誰もが知っている対策済みの手口を悪用するという通り一遍の方法ではなく(それはそれで有効なこともあるが)、最新の脆弱性が見つかり、その実装が容易ならば、ただちにそれがウイルスに組み込まれるわけだ。特に、プログラム的な手法というよりも、ユーザーに「ウッカリ実行させる」ためのテクニックはアンチウイルスソフトでは防ぐことが困難なため、今後もいろいろと狙われるだろう。
ひそかに知られている純国産ウイルス(正確にはトロイの木馬だがワームとして分類されていることが多い)の代表格に、「Antinny」とその亜種たちがある。これらが「純国産」と言われているのは、感染対象として、基本的に日本でしか使われていないP2Pソフト「Winny」のユーザーを狙い打ちにしているからだ。Antinnyの場合、感染ファイルが流通する経路も、感染者が新たに他人に流してしまう(再感染させる)経路もWinnyである。Winnyを止めれば、Antinnyに感染し、結果的に加害者になることもない。
ちなみに、キーワードとして使われている「ぬるぽ」というのも、掲示板「2ちゃんねる」で流行った用語なので、これも日本人説を高めているといえるだろう(プログラムでも組まない限り「NullPointerException」は起こさないと思うので、たいていの人は真の意味を知らずに使っていると思われる)。
Antinnyはトレンドマイクロやシマンテックの対応リストに掲載されているが、別作者の手によるものと思われる亜種も多数登場している。特にその名を有名にしたのは、「警察官もWinnyを使っていた(しかもAntinnyに感染して、捜査資料をWinnyで流してしまった)」ことを世間に知らしめてしまった「Antinny.G(通称キンタマウイルス)」だろう(6月1日の記事参照)。この頃に使われていた手口は
といった具合に、見た目をごまかすウッカリテクニックを使用して、ユーザー自身に「ウッカリ」ダブルクリックさせる、というものであった。
ただ、Winnyを利用しない一般人にとっては、Antinny系のウイルスファイルを実行してもさしたる被害はなく、そもそも感染したファイルを入手することもなかった(ただしAntinny.Kには、ゾロ日(最近だと8月8日)になると「accsjp.or.jp」にアクセスを繰り返すDDoS攻撃機能が備わっているが……)。
しかもこの手の脆弱性は、Windows XPの設定変更や、そもそもWindowsエクスプローラを使わないようにすることで簡単に対処できる。怪しいexeを実行しないなんてことは、セキュリティの初歩の初歩だ。
もう少し言えば、Antinnyが感染を日本で広めた背景の1つとして、これが日本ローカルのウイルスであるという要素も否定しきれないだろう。Antinny.GとAntinny.Kが話題になったときだが、筆者が見たところ、ウイルス対策企業側のパターン作成対応は明らかに遅れていた。以前この件について尋ねたところ、「(感染)レポートがユーザーからあまり来なかった(≒被害の深刻度は低い≒緊急に対処する必要性が薄い)」から、という話であった。
また、この手のプログラムの場合、アンチウイルスソフトベンダーによる検体(ウイルスと疑わしきファイル)の入手が難しいという点も挙げられる。Webやメールで「配布」されるウイルスは入手しやすいが、アンチウイルスベンダーが(ウイルス収集とはいえ)Winnyを動かすのにはさすがに問題があるだろう。
トレンドマイクロでもシマンテックでも、アンチウイルスソフトにはたいてい、未知の「ウイルスと疑わしきファイル」を報告する機能が備わっていると言う。だが一般人の場合は、「最新のアンチウイルスソフトを入れ、データ更新もキチンと行われているのだから、疑わしきファイルであっても『問題なし』」と考えることもあるだろう。これら疑わしきファイルをきちんとウイルスとして認識し、ウイルス対策ベンダー側が対応していれば、先のような報道もなかったのではとも感じる。
ともかく、偽装された怪しい実行ファイルさえ実行しなければ、Antinny系に感染することはない。注意すれば十分防げるわけで、道端の犬のフンではないが、ある意味「キンタマ踏んだ」ヤツが悪いのだ。
ところが、ファイルを実行しなくても感染するタイプのAntinny系トロイの木馬、「Nullporce」の亜種が登場した。
Copyright © ITmedia, Inc. All Rights Reserved.