「山田オルタネイティブ」の動作を知る（2/2 ページ）

[小林哲雄，ITmedia]

　具体的には、大量投稿を行ってその他の書き込みを邪魔するマルウェアが、2ちゃんねるのダウンロード板を攻撃している。感染者のPCから

• スレッドタイトルに「Winny」または「Share」の文字がある
• 現存するスレッドのうち最も古い

という条件に該当するWinny／Share関連のスレッドに対して、幾つかのフレーズをリモートホストが分かる形で大量に投稿する。このため、掲示板上ではまったく話題を継続できなくなる。1つのスレッドがいっぱいになると、攻撃対象は次に古いスレッドへと移る。投稿IDから判断する限り、複数の感染者が2〜3分間隔で次々に投稿を行っている。書き込まれる文字列は投稿者（感染者）によって異なっているようで、一部では書き込みの内容から「小泉ウイルス」などと呼ばれているようだ。

　運営サイドでも投稿規制やウイルス対策ベンダーへの検体提供を行っているようだが、新たな亜種や感染者が後を絶たず、いたちごっことなっているもようだ。

　WinnyやShareといったP2P型ファイル共有ソフトと2ちゃんねるのダウンロード板は関連が深いため、このマルウェアの発見も早く、パターンファイルも既に提供されている。しかし、そうした関連の薄いWebサイトや掲示板に同種の攻撃が仕掛けられた場合、原因究明と対策には時間がかかるだろう。サーバ管理者にとっては頭の痛い問題だ。

　ちなみに、大量の投稿（＝掲示板荒らし）を行う2ちゃんねる攻撃マルウェアは、その前月に登場していた。ダウンロード板をターゲットとしたこのマルウェア以外に、他の板を攻撃する亜種も登場しており、手を変え品を変えという形で攻撃が続いている。

　これらの新マルウェアはRubyスクリプトで記述されているようだ。Rubyスクリプトを単独で実行可能な変換ソフトウェア「Exerb」を使用しているらしく、ウイルス対策ソフトによっては、Exerbの特定バージョンをマルウェアと判定する誤検知問題も生じている。

　なお手元のログを調べてみると、2005年4月にはRubyスクリプトを使ったマルウェアを確認できた。元ソースが得られるのであれば、流用や亜種作成もたやすい。数年前のことになるが、Microsoft Excelのマクロ機能を悪用するマクロウイルスが猛威を振るったことがある。その当時は、マクロウイルス作成のための「ウイルスコンストラクションキット」まで出回っていた。同様の事態がRubyスクリプトを用いた新たなマルウェアで起こらないとは言い切れない。こちらの動きにも注意が必要だろう。