PR

 米シマンテックやフィンランドのエフセキュアなどのセキュリティ企業は2009年1月6日、Windowsの脆弱(ぜいじゃく)性を悪用するウイルス(ワーム)が感染を広げているとして注意を呼びかけた。シマンテックの調査によれば、数百万台規模のパソコンが感染しているという。

 ウイルスが悪用するのは、セキュリティ情報「[MS08-067]Serverサービスの脆弱性により、リモートでコードが実行される (958644)」に含まれる脆弱性。とても危険な脆弱性であり、一部で悪用が確認されていたため、マイクロソフトではセキュリティ更新プログラム(修正パッチ)を2008年10月24日に緊急公開した。

 しかしその後、脆弱性を悪用するウイルスが続出し、世界中で大きな被害をもたらしている。国内も例外ではない。例えばシマンテック日本法人では、2008年11月24日から同年11月28日までに、同社製品の企業ユーザーからおよそ200件の問い合わせを受け、そのうち9割には実害があったという。

 今回被害をもたらしているのは、「Downadup」や「Conficker」などと名付けられたウイルス。メーカーによって呼び名が異なる。悪用する脆弱性は同じだが、挙動などが異なる亜種が次々と出現している。

 今回のウイルスは、「MS08-067」の脆弱性を突いてパソコンに侵入する。脆弱性のあるパソコンでは、攻撃データを送信されるだけ、つまり、ネットワークに接続するだけで、同ウイルスに感染する恐れがある。

 エフセキュアなどの情報によれば、ウイルスは、Windowsの自動更新機能やセキュリティ機能などを停止。同時に、脆弱性を持つ別のパソコンに感染を広げようとする。

 ネットワーク上に存在するファイル共有サーバーなどを探し出し、自分自身をコピーして感染を広げる機能も持つ。このため企業ネットワーク上のパソコンが感染すると、ネットワーク中に感染を広げる危険性がある。また、ウイルスは「よく使われるパスワードの一覧」を持っているため、パスワードを設定していても感染する恐れがある。

 加えてウイルスは、特定のWebサーバーにアクセスして、別のウイルスをダウンロードする。アクセスするサーバーのURLは、あるアルゴリズムに従って動的に生成され、定期的に変更される。サーバーを特定されにくくするとともに、閉鎖されても攻撃を継続できるようにするためだ。攻撃者は、そのアルゴリズムで生成されるURL(ドメイン)を取得しておいて、そのサイトにウイルスがアクセスする時期がきたら、そこに別のウイルスなどを置いておく。

 シマンテックでは、この仕組みを逆手に取った。ウイルスプログラム中のアルゴリズムを解析して、今後生成されるであろうURLを予測し、攻撃者よりも早くそのURLを取得。そして、そのサーバーへのアクセスを観測して、ウイルス感染パソコンの台数などを調べた。

 その結果、1週間の観測で300万以上のIPアドレスからアクセスがあったという。ただし、企業ネットワークではNATを使っている可能性が高いので、感染パソコンの台数はこれよりも多いだろうと推測する。同一ネットワークのパソコンからのアクセスは、同じIPアドレスからのアクセスに見えるからだ。

 また、同サーバーへアクセスする際に送られる情報(HTTPのUSER-AGENTヘッダー)を調べることで、感染パソコンのOSなども分かった。ある72時間で調べたところ、感染パソコンの過半数はWindows XPのサービスパック未適用あるいはSP1だったという。

 今後も、「MS08-067」を悪用する新たなウイルスが出現し、感染を広げることが予想される。このためシマンテックなどでは、修正パッチを適用することや、セキュリティ対策ソフトを最新の状態に更新することを強く推奨している。