編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

Windowsワームの大量発生--ボットネットの拡大を狙った縄張り争いか

Joris Evers(CNET News.com)

2005-08-18 15:15

 Windows 2000の脆弱性を突くワームが急激に広がっているが、一部のセキュリティ専門家は、これがネット犯罪に悪用する目的でPCを乗っ取ろうとするウイルス作者グループ間の抗争の一部である可能性を示唆している・・・だが、この考えに納得していない専門家もいる。

 米国時間14日からこれまでに複数のワームが出現しているが、これらのワームの振る舞いのなかにサイバー詐欺集団同士の縄張り争いの兆候が読みとれると、フィンランドのセキュリティソフトウェア企業F-Secureの最高調査責任者であるMikko Hypponenは述べている。

 あわせて十数種類のワームやその亜種は、いずれもWindows 2000のプラグ&プレイ機能に見つかったセキュリティホールを悪用するものだ。しかし、なかには最初のワームが与えた被害を回復させているものもあり、他者がすでに危害を加えたコンピュータの支配権をめぐってウイルス作者同士が争っている様子がうかがえると、Hypponenは言う。

 「3つのウイルス作者のグループが、大変な勢いで新しいワームを次々につくり出しているように思われる。まるで、どのグループが最も多くのマシンに感染できるかを競い合っているかのようだ」とHypponenは17日に述べた。

 「Zotob」と呼ばれる最初のワームは14日に登場し、15日には消滅したようだ。しかしその後、Zotobの複数の亜種や、Bozoriという別の新しいワームも登場してきた。さらに、以前からあったRbot、Sdbot、CodBot、IRCBotの新亜種も、コンピュータへの侵入を開始している。これらのワームにより、CNNやABC、The New York Timesのシステムが被害を被っている。

 これらのワームには「ボット」コードが含まれている。ボットは、改ざんしたシステムを攻撃者がリモートから乗っ取れるようにするプログラム。犯罪者らは、乗っ取ったこれらのシステムを「ボットネット」というネットワークにまとめるのが一般的だ。これらのボットネットは、スパムのリレーや、フィッシング詐欺の目的で貸し出される。フィッシングとは、不正行為を行う目的で機密性の高い個人データを盗みだそうとする行為を指す。さらに、ボットネットを使って、オンライン企業にDoS(サービス拒否)攻撃を仕掛け、金品をゆすり取ろうとする場合もあると専門家は指摘している。

 ウイルス対策企業のSophosによると、今回大量に発生しているワームは営利目的でつくられたものだという。Sophosのシニア技術コンサルタント、Graham Cluleyは「このような攻撃の背景には犯罪組織が存在しており、彼らの動機は金儲けだ。改ざんされたコンピュータがつくる巨大ネットワークは、これらの犯罪組織にとって貴重な資産となる」と説明している。

 一般には、約5500台の「ゾンビPC」(改ざんされたコンピュータ)をコントロールできるボットネットが、スパムやフィッシングの目的で、1週間につき約350ドルで貸し出されていると、セキュリティ対策企業のSymantecは指摘している。

 電子メールセキュリティベンダーMessageLabsのAlex Shipp(シニアウイルス対策科学技術者)によると、このワーム戦争は始まったばかりのようだという。

 ワーム作者同士の抗争は特に新しいものではない。昨年には、Bagle、NetSky、MyDoomの作者らが、ボットネットに利用する目的で改ざんした大量のPCの支配権をめぐって争っていた。

 しかし、現在それと似たような縄張り争いが起こっているというこの考えに、誰もが納得しているわけではない。Computer Associates(CA)のStefana Ribaudo(脅威管理部門ディレクター)によると、CAではこれまで他のワームの検知/削除を試みるようなウイルスやワームは1つも目にしていないという。

 セキュリティソフトウェアメーカーのMcAfeeでウイルス研究担当のエンジニアとして働くLysa Myersも、CAのRibaudoと同意見で、ボットネットの支配権をめぐって本当に抗争が起きていることを示す兆候はないと言う。「今回のワームは小規模な発生しかなく、大規模な攻撃が起こる余地はない」(Myers)

 仮に、何かが実際に起こっているとしても、それは単なる地下組織同士の争いに過ぎないというのは、ITサービス企業のUnisysで主任セキュリティコンサルタントを務めるJohn Pirontiだ。「攻撃者なら、自分がコントロールしているマシンの台数を自慢したがるものだ。これはコンテストのようなものだろう」(Pironti)

 もし、これらのワームが本当にボットネットの拡大を目的に出されているのなら、攻撃者はもっと高度な手法を使って、ウイルス対策企業に察知されないようにするはずだと、Pirontiは言う。

 Microsoftは先週、これらのワームが悪用しているWindows 2000のプラグ&プレイ機能のバグを修正するためのパッチを公開した。同社はこの脆弱性の深刻度を最大の「緊急」に分類している。最初のZotob亜種は、同社がパッチをリリースしてから、これまででもっとも短時間で登場したため、Windowsユーザーはこのパッチをシステムに適用する時間がほとんどなかった。

 この脆弱性はWindows XPやWindows Server 2003の動くPCにも影響するが、ただしリモートからの攻撃が可能なのはWindows 2000が動くシステムに限られると、Microsoftは説明している。

 なお、ウイルスソフトウェアメーカー各社から出ているツールを使えば、被害にあったマシンからワームを除去することが可能だ。また、パッチをまだ適用していないWindows 2000ユーザはすぐにもパッチをあてるべきだと、Microsoftは述べている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]