Windows 2000の脆弱性を突くワームが急激に広がっているが、一部のセキュリティ専門家は、これがネット犯罪に悪用する目的でPCを乗っ取ろうとするウイルス作者グループ間の抗争の一部である可能性を示唆している・・・だが、この考えに納得していない専門家もいる。
米国時間14日からこれまでに複数のワームが出現しているが、これらのワームの振る舞いのなかにサイバー詐欺集団同士の縄張り争いの兆候が読みとれると、フィンランドのセキュリティソフトウェア企業F-Secureの最高調査責任者であるMikko Hypponenは述べている。
あわせて十数種類のワームやその亜種は、いずれもWindows 2000のプラグ&プレイ機能に見つかったセキュリティホールを悪用するものだ。しかし、なかには最初のワームが与えた被害を回復させているものもあり、他者がすでに危害を加えたコンピュータの支配権をめぐってウイルス作者同士が争っている様子がうかがえると、Hypponenは言う。
「3つのウイルス作者のグループが、大変な勢いで新しいワームを次々につくり出しているように思われる。まるで、どのグループが最も多くのマシンに感染できるかを競い合っているかのようだ」とHypponenは17日に述べた。
「Zotob」と呼ばれる最初のワームは14日に登場し、15日には消滅したようだ。しかしその後、Zotobの複数の亜種や、Bozoriという別の新しいワームも登場してきた。さらに、以前からあったRbot、Sdbot、CodBot、IRCBotの新亜種も、コンピュータへの侵入を開始している。これらのワームにより、CNNやABC、The New York Timesのシステムが被害を被っている。
これらのワームには「ボット」コードが含まれている。ボットは、改ざんしたシステムを攻撃者がリモートから乗っ取れるようにするプログラム。犯罪者らは、乗っ取ったこれらのシステムを「ボットネット」というネットワークにまとめるのが一般的だ。これらのボットネットは、スパムのリレーや、フィッシング詐欺の目的で貸し出される。フィッシングとは、不正行為を行う目的で機密性の高い個人データを盗みだそうとする行為を指す。さらに、ボットネットを使って、オンライン企業にDoS(サービス拒否)攻撃を仕掛け、金品をゆすり取ろうとする場合もあると専門家は指摘している。
ウイルス対策企業のSophosによると、今回大量に発生しているワームは営利目的でつくられたものだという。Sophosのシニア技術コンサルタント、Graham Cluleyは「このような攻撃の背景には犯罪組織が存在しており、彼らの動機は金儲けだ。改ざんされたコンピュータがつくる巨大ネットワークは、これらの犯罪組織にとって貴重な資産となる」と説明している。
一般には、約5500台の「ゾンビPC」(改ざんされたコンピュータ)をコントロールできるボットネットが、スパムやフィッシングの目的で、1週間につき約350ドルで貸し出されていると、セキュリティ対策企業のSymantecは指摘している。
電子メールセキュリティベンダーMessageLabsのAlex Shipp(シニアウイルス対策科学技術者)によると、このワーム戦争は始まったばかりのようだという。
ワーム作者同士の抗争は特に新しいものではない。昨年には、Bagle、NetSky、MyDoomの作者らが、ボットネットに利用する目的で改ざんした大量のPCの支配権をめぐって争っていた。
しかし、現在それと似たような縄張り争いが起こっているというこの考えに、誰もが納得しているわけではない。Computer Associates(CA)のStefana Ribaudo(脅威管理部門ディレクター)によると、CAではこれまで他のワームの検知/削除を試みるようなウイルスやワームは1つも目にしていないという。
セキュリティソフトウェアメーカーのMcAfeeでウイルス研究担当のエンジニアとして働くLysa Myersも、CAのRibaudoと同意見で、ボットネットの支配権をめぐって本当に抗争が起きていることを示す兆候はないと言う。「今回のワームは小規模な発生しかなく、大規模な攻撃が起こる余地はない」(Myers)
仮に、何かが実際に起こっているとしても、それは単なる地下組織同士の争いに過ぎないというのは、ITサービス企業のUnisysで主任セキュリティコンサルタントを務めるJohn Pirontiだ。「攻撃者なら、自分がコントロールしているマシンの台数を自慢したがるものだ。これはコンテストのようなものだろう」(Pironti)
もし、これらのワームが本当にボットネットの拡大を目的に出されているのなら、攻撃者はもっと高度な手法を使って、ウイルス対策企業に察知されないようにするはずだと、Pirontiは言う。
Microsoftは先週、これらのワームが悪用しているWindows 2000のプラグ&プレイ機能のバグを修正するためのパッチを公開した。同社はこの脆弱性の深刻度を最大の「緊急」に分類している。最初のZotob亜種は、同社がパッチをリリースしてから、これまででもっとも短時間で登場したため、Windowsユーザーはこのパッチをシステムに適用する時間がほとんどなかった。
この脆弱性はWindows XPやWindows Server 2003の動くPCにも影響するが、ただしリモートからの攻撃が可能なのはWindows 2000が動くシステムに限られると、Microsoftは説明している。
なお、ウイルスソフトウェアメーカー各社から出ているツールを使えば、被害にあったマシンからワームを除去することが可能だ。また、パッチをまだ適用していないWindows 2000ユーザはすぐにもパッチをあてるべきだと、Microsoftは述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ