夏のジョークにしては悪質? Winny経由で広まるトロイの木馬「Nullporce」(1/2 ページ)

ウイルスというのは、最も熱心に最新のテクノロジが導入される分野の1つだ。その例(悪例?)がAntinnyであり、Nullporceである。

» 2004年08月12日 15時33分 公開
[小林哲雄,ITmedia]

 IT業界には新テクノロジが次々と登場する。そうした目先の効いたテクノロジを「あこぎ」なまでに導入する分野の1つに、ウイルス業界(?)が挙げられるだろう。

 多くのアンチウイルスソフトが提供されており、セキュリティ強化をうたい文句にしているWindows XP Service Pack 2(SP2)では半ば強制的にアンチウイルスソフトの導入が「推奨」される。そんな状況の中でウイルスなり、トロイの木馬を実行させるには、作り手側の「努力」が必要だ。

 つまり、誰もが知っている対策済みの手口を悪用するという通り一遍の方法ではなく(それはそれで有効なこともあるが)、最新の脆弱性が見つかり、その実装が容易ならば、ただちにそれがウイルスに組み込まれるわけだ。特に、プログラム的な手法というよりも、ユーザーに「ウッカリ実行させる」ためのテクニックはアンチウイルスソフトでは防ぐことが困難なため、今後もいろいろと狙われるだろう。

最新テクノロジを真っ先に導入したウイルス

 ひそかに知られている純国産ウイルス(正確にはトロイの木馬だがワームとして分類されていることが多い)の代表格に、「Antinny」とその亜種たちがある。これらが「純国産」と言われているのは、感染対象として、基本的に日本でしか使われていないP2Pソフト「Winny」のユーザーを狙い打ちにしているからだ。Antinnyの場合、感染ファイルが流通する経路も、感染者が新たに他人に流してしまう(再感染させる)経路もWinnyである。Winnyを止めれば、Antinnyに感染し、結果的に加害者になることもない。

 ちなみに、キーワードとして使われている「ぬるぽ」というのも、掲示板「2ちゃんねる」で流行った用語なので、これも日本人説を高めているといえるだろう(プログラムでも組まない限り「NullPointerException」は起こさないと思うので、たいていの人は真の意味を知らずに使っていると思われる)。

 Antinnyはトレンドマイクロやシマンテックの対応リストに掲載されているが、別作者の手によるものと思われる亜種も多数登場している。特にその名を有名にしたのは、「警察官もWinnyを使っていた(しかもAntinnyに感染して、捜査資料をWinnyで流してしまった)」ことを世間に知らしめてしまった「Antinny.G(通称キンタマウイルス)」だろう(6月1日の記事参照)。この頃に使われていた手口は

  • Windowsでは、「.folder」という拡張子が付くと、そのファイルの中身にかかわらずフォルダアイコンに見える(1月28日の記事参照)。この「フォルダ」アイコンをダブルクリックすると、実はHTMLだった中身が解釈され、内部のスクリプトでプログラムが実行される(この場合、ハードディスク内のファイルであるため「exe」も実行可能となってしまう)。なおマイクロソフトではこれを「仕様」と言っていたはずだが、4月の定例アップデートで修正された。
フォルダ悪用 すでに重要な更新で修正されているが、以前はどんなファイルも.folderという拡張子を付ければ、見かけはフォルダアイコンになった。中を見ようとうっかりダブルクリックするとhtmlが解釈されるというわけだ。以前はよく使われていた手口
  • 「ほげほげ.rar…………(スペース)………….exe」や「ほげほげ.zip…………(スペース)………….exe」のように、間に長いスペースを加えることによって、一見すると実行形式のファイルに見えないよう偽装する(もちろんexeのアイコンもそれらしく書き換えてある)。
スペース悪用 アイコンをシングルクリックするとファイル名すべてが見え、実は「exeファイル」だと分かる。だがWindows XPのデフォルト設定ではそう見えない

 といった具合に、見た目をごまかすウッカリテクニックを使用して、ユーザー自身に「ウッカリ」ダブルクリックさせる、というものであった。

 ただ、Winnyを利用しない一般人にとっては、Antinny系のウイルスファイルを実行してもさしたる被害はなく、そもそも感染したファイルを入手することもなかった(ただしAntinny.Kには、ゾロ日(最近だと8月8日)になると「accsjp.or.jp」にアクセスを繰り返すDDoS攻撃機能が備わっているが……)。

 しかもこの手の脆弱性は、Windows XPの設定変更や、そもそもWindowsエクスプローラを使わないようにすることで簡単に対処できる。怪しいexeを実行しないなんてことは、セキュリティの初歩の初歩だ。

 もう少し言えば、Antinnyが感染を日本で広めた背景の1つとして、これが日本ローカルのウイルスであるという要素も否定しきれないだろう。Antinny.GとAntinny.Kが話題になったときだが、筆者が見たところ、ウイルス対策企業側のパターン作成対応は明らかに遅れていた。以前この件について尋ねたところ、「(感染)レポートがユーザーからあまり来なかった(≒被害の深刻度は低い≒緊急に対処する必要性が薄い)」から、という話であった。

 また、この手のプログラムの場合、アンチウイルスソフトベンダーによる検体(ウイルスと疑わしきファイル)の入手が難しいという点も挙げられる。Webやメールで「配布」されるウイルスは入手しやすいが、アンチウイルスベンダーが(ウイルス収集とはいえ)Winnyを動かすのにはさすがに問題があるだろう。

 トレンドマイクロでもシマンテックでも、アンチウイルスソフトにはたいてい、未知の「ウイルスと疑わしきファイル」を報告する機能が備わっていると言う。だが一般人の場合は、「最新のアンチウイルスソフトを入れ、データ更新もキチンと行われているのだから、疑わしきファイルであっても『問題なし』」と考えることもあるだろう。これら疑わしきファイルをきちんとウイルスとして認識し、ウイルス対策ベンダー側が対応していれば、先のような報道もなかったのではとも感じる。

 ともかく、偽装された怪しい実行ファイルさえ実行しなければ、Antinny系に感染することはない。注意すれば十分防げるわけで、道端の犬のフンではないが、ある意味「キンタマ踏んだ」ヤツが悪いのだ。

おまえが踏まなきゃ誰が踏む!

 ところが、ファイルを実行しなくても感染するタイプのAntinny系トロイの木馬、「Nullporce」の亜種が登場した。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.