Windowsワームの大量発生--ボットネットの拡大を狙った縄張り争いか

Joris Evers(CNET News.com)

2005-08-18 15:15

 Windows 2000の脆弱性を突くワームが急激に広がっているが、一部のセキュリティ専門家は、これがネット犯罪に悪用する目的でPCを乗っ取ろうとするウイルス作者グループ間の抗争の一部である可能性を示唆している・・・だが、この考えに納得していない専門家もいる。

 米国時間14日からこれまでに複数のワームが出現しているが、これらのワームの振る舞いのなかにサイバー詐欺集団同士の縄張り争いの兆候が読みとれると、フィンランドのセキュリティソフトウェア企業F-Secureの最高調査責任者であるMikko Hypponenは述べている。

 あわせて十数種類のワームやその亜種は、いずれもWindows 2000のプラグ&プレイ機能に見つかったセキュリティホールを悪用するものだ。しかし、なかには最初のワームが与えた被害を回復させているものもあり、他者がすでに危害を加えたコンピュータの支配権をめぐってウイルス作者同士が争っている様子がうかがえると、Hypponenは言う。

 「3つのウイルス作者のグループが、大変な勢いで新しいワームを次々につくり出しているように思われる。まるで、どのグループが最も多くのマシンに感染できるかを競い合っているかのようだ」とHypponenは17日に述べた。

 「Zotob」と呼ばれる最初のワームは14日に登場し、15日には消滅したようだ。しかしその後、Zotobの複数の亜種や、Bozoriという別の新しいワームも登場してきた。さらに、以前からあったRbot、Sdbot、CodBot、IRCBotの新亜種も、コンピュータへの侵入を開始している。これらのワームにより、CNNやABC、The New York Timesのシステムが被害を被っている。

 これらのワームには「ボット」コードが含まれている。ボットは、改ざんしたシステムを攻撃者がリモートから乗っ取れるようにするプログラム。犯罪者らは、乗っ取ったこれらのシステムを「ボットネット」というネットワークにまとめるのが一般的だ。これらのボットネットは、スパムのリレーや、フィッシング詐欺の目的で貸し出される。フィッシングとは、不正行為を行う目的で機密性の高い個人データを盗みだそうとする行為を指す。さらに、ボットネットを使って、オンライン企業にDoS(サービス拒否)攻撃を仕掛け、金品をゆすり取ろうとする場合もあると専門家は指摘している。

 ウイルス対策企業のSophosによると、今回大量に発生しているワームは営利目的でつくられたものだという。Sophosのシニア技術コンサルタント、Graham Cluleyは「このような攻撃の背景には犯罪組織が存在しており、彼らの動機は金儲けだ。改ざんされたコンピュータがつくる巨大ネットワークは、これらの犯罪組織にとって貴重な資産となる」と説明している。

 一般には、約5500台の「ゾンビPC」(改ざんされたコンピュータ)をコントロールできるボットネットが、スパムやフィッシングの目的で、1週間につき約350ドルで貸し出されていると、セキュリティ対策企業のSymantecは指摘している。

 電子メールセキュリティベンダーMessageLabsのAlex Shipp(シニアウイルス対策科学技術者)によると、このワーム戦争は始まったばかりのようだという。

 ワーム作者同士の抗争は特に新しいものではない。昨年には、Bagle、NetSky、MyDoomの作者らが、ボットネットに利用する目的で改ざんした大量のPCの支配権をめぐって争っていた。

 しかし、現在それと似たような縄張り争いが起こっているというこの考えに、誰もが納得しているわけではない。Computer Associates(CA)のStefana Ribaudo(脅威管理部門ディレクター)によると、CAではこれまで他のワームの検知/削除を試みるようなウイルスやワームは1つも目にしていないという。

 セキュリティソフトウェアメーカーのMcAfeeでウイルス研究担当のエンジニアとして働くLysa Myersも、CAのRibaudoと同意見で、ボットネットの支配権をめぐって本当に抗争が起きていることを示す兆候はないと言う。「今回のワームは小規模な発生しかなく、大規模な攻撃が起こる余地はない」(Myers)

 仮に、何かが実際に起こっているとしても、それは単なる地下組織同士の争いに過ぎないというのは、ITサービス企業のUnisysで主任セキュリティコンサルタントを務めるJohn Pirontiだ。「攻撃者なら、自分がコントロールしているマシンの台数を自慢したがるものだ。これはコンテストのようなものだろう」(Pironti)

 もし、これらのワームが本当にボットネットの拡大を目的に出されているのなら、攻撃者はもっと高度な手法を使って、ウイルス対策企業に察知されないようにするはずだと、Pirontiは言う。

 Microsoftは先週、これらのワームが悪用しているWindows 2000のプラグ&プレイ機能のバグを修正するためのパッチを公開した。同社はこの脆弱性の深刻度を最大の「緊急」に分類している。最初のZotob亜種は、同社がパッチをリリースしてから、これまででもっとも短時間で登場したため、Windowsユーザーはこのパッチをシステムに適用する時間がほとんどなかった。

 この脆弱性はWindows XPやWindows Server 2003の動くPCにも影響するが、ただしリモートからの攻撃が可能なのはWindows 2000が動くシステムに限られると、Microsoftは説明している。

 なお、ウイルスソフトウェアメーカー各社から出ているツールを使えば、被害にあったマシンからワームを除去することが可能だ。また、パッチをまだ適用していないWindows 2000ユーザはすぐにもパッチをあてるべきだと、Microsoftは述べている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. 運用管理

    IDCレポートが明かす、AI時代において「プライベートAIインフラ」が企業競争力に果たす役割と効果

  3. ビジネスアプリケーション

    新規アポ率が従来の20倍になった、中小企業のDX奮闘記--ツール活用と効率化がカギ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]