2006年も止まらない「Winnyで流出」、最新のマルウェア解説（1/2 ページ）

Winny経由の情報流出が止まらない。その原因となっているマルウェアの最新亜種について解説しよう。

[小林哲雄，ITmedia]

　感染するとPC内のファイルや情報をWinnyネットワークに流出させる「仁義なきキンタマ」こと「Antinny亜種」は、どうやら2005年から2006年にかけての最悪のマルウェアになっているようだ。

　2005年3月の記事で、仁義なきキンタマことAntinnyは、以前のマルウェアに比べ、「晒し」（さらし）の範囲をいっそう広げたことを紹介した。しかし2005年後半に出現したとおぼしき改良版の威力は、その比ではないようだ。海上自衛隊をはじめ、昨年末から今年にかけて報道されている機密情報漏えい事件の多くは、この亜種によるものと推測される。

　新種の特徴だが、まず、以前のマルウェアとは共有するファイル名が少々異なる。例を挙げると

旧タイプ
[仁義なきキンタマ] 小林哲雄のドキュメント.zip

新タイプ
[仁義なきキンタマ] 小林哲雄(XXXXXXXX)のドキュメント.zip

　ここで「XXXX」と書いてある部分は16進数8桁の文字列で、ランダムなのか法則性があるのかはまだよく分かっていない。

　旧タイプは、主としてMicrosoft OfficeのドキュメントをWinnyにアップロードさせた（ExcelやWordでまとめたデータのほか、プレゼンテーション資料とおぼしきPowerPointのデータが含まれているケースもあった）ため流出の影響は大きかった。新タイプはさらに深刻で、特定のフォルダ内のファイルがほとんど含まれてしまう。報道された海上自衛隊のケースでは、機密プログラムのインストールファイルフォルダが含まれたため、被害はさらに大きくなった。

　なお新型では、流出対象のファイルが増えたためか、流出するドキュメントファイルのサイズも大きくなっている。したがって、仮に新タイプに感染しても、ごく短期間のうちに感染を確認できれば、ファイル流出を途中でストップさせることで最悪の事態は避けられるかもしれない。転送が途中で止まったファイルを強制展開し、さらにZIPファイルの修復をしてまで流出ファイルすべてをチェックされる可能性は低いからだ。

　また、旧タイプは、PC内のファイルに加え、Winnyそのものに関連する「Tab1/2.txt」（よく利用される検索キーワード）と「download.txt」（取得待ちのリスト）といったファイルも同時にさらされた。これだけでも、当人の「Winnyにおける趣味と傾向」が分かってしまうのだが、新タイプはさらに、Windows OSが持っている「最近使ったファイル」（「ダブルクリックで開いたデータファイルの一覧」とほぼ同じ）が公開される。Winnyで流通するファイルは、検索性を上げるため説明的な名称になっているものが多い。もし、「最近使ったファイル」にその種のファイル名が含まれているならば、それはWinnyでダウンロードしたファイルを閲覧した間接証拠だとも言える。

「最近使ったファイル」の情報まで流出するのがAntinny（仁義なきキンタマ）亜種の特徴で、感染者がどんなデータを開こうとしていたのか一目瞭然となる

　一連の流出を引き起こしているマルウェア亜種／新種の場合、たとえウイルス対策ソフトを導入していても、対応パターンファイルがリリースされない限り検知できない。海上自衛隊のケースでは「アンチウイルスソフトを使っており『感染するとは思っていなかった』」という発言が報道されていたが、その安心がアダになったと言っていいだろう。

山田ウイルスにも強力な亜種

　Antinny（仁義なきキンタマ）の場合は、感染するとWinnyのネットワークを通じて情報を公開する。これに対し、Winnyを利用していなくとも情報をインターネット上にさらしてしまうのが、通称「山田ウイルス」だ。アップローダなどからダウンロードしたファイルや電子メールの添付ファイル経由で感染して手元のPCを「Webサーバ」化し、いや応なしに内部の情報をインターネットに公開してしまう。

　これにも最近になって、亜種の「山田オルタネイティブ」（仮称）が登場した。感染したPCのスクリーンショットだけでなく、HDD内の全ファイルが公開される上に、ほかの感染したPC間へのリンクを作成する機能もあるという。

　また、ウイルス対策ベンダーによって正式に検証されてはいないが、山田オルタネイティブの亜種の一部には、UPnP（Universal Plug＆Play）機能を悪用し、ブロードバンドルータのポートを自動的に開いてしまうものがある、という情報もある。