PR

 海外のセキュリティ企業や組織は2009年3月末、「『Conficker(コンフィッカー)』ウイルスが2009年4月1日に『凶暴化』して大きな被害をもたらす」といった報道を否定。これらは「マスコミの誇張(media hype)」であり、大きな影響はないとしている。実際、現時点(日本時間2009年4月1日正午)では、各社とも特に変化はないと伝えている。

 Confickerとは、2008年10月24日に緊急公開されたWindowsの脆弱(ぜいじゃく)性「MS08-067」を悪用して感染を広げるウイルス。2008年11月に出現した。「Downadup(ダウンアドアップ)」などとも呼ばれる。

 2008年12月には、Windowsの脆弱性を悪用する以外の感染手法も備えた亜種が次々出現。亜種は、ネットワークログオンのパスワードを破って別のパソコンにウイルスをコピーしたり、USBメモリーなどを介して感染拡大したりする。

 Confickerおよびその亜種は世界中で感染を拡大。セキュリティ企業の米ウェブセンスによれば、ピーク時には世界中で1000万台以上、現在でも100万~200万台のパソコンが感染しているという。

 Confickerの亜種の中には、特定のWebサイトにアクセスし、別のウイルスや「アップデートモジュール」をダウンロードするものがある。いくつかのセキュリティ企業がConfickerの最新の亜種を解析したところ、このダウンロードに関する機能が、2009年4月1日に変更されるようにプログラミングされていたという。

 この報告を受けて、一部のメディアは「Confickerは2009年4月1日に挙動を変える」という部分だけを誇張。ユーザーの不安をあおるような報道が国内外で見られた。例えば英ソフォスによれば、「Confickerは誰も検出できないウイルスであり、2009年4月1日には、数百万台のパソコンにものすごい被害をもたらす」といった報道があったという。

 実際には、こういった報道はすべてデマであり、4月1日になっても大きな変化はないだろうと、フィンランドのエフセキュアなどは公式ブログでコメントしていた。それらを裏付けるように、4月1日になった現在でも、深刻な事態は報告されていない。

 それよりも問題なのは、今回の「Conficker騒動」に便乗した「偽ソフト」が出現していること。ここでの偽ソフトとは、大した機能を持たないにもかかわらず、ウイルス対策の機能などを備えていると偽って配布されるソフトのこと。インストールすると勝手に動き出して、「ウイルスが見つかった」といった偽の警告を表示。問題を解消したければ、有料版を購入する必要があるとして販売サイトにユーザーを誘導し、クレジットカード番号などを入力させる。

 出回っているのは、Confickerの駆除ツールに見せかけた偽ソフト。エフセキュアによると、例えばGoogleで「conficker remove」で検索すると、偽のConficker駆除ツールへのリンクがスポンサーリンクとして表示されるという(図1)。

 また、「remove-conficker.org」といった“それらしい”ドメイン名が取得され、偽駆除ツールが配布されている(図2)。なお現在では、このドメインにアクセスすると、米マイクロソフトの対策サイトにリダイレクトされるようになっている。

 セキュリティ企業や組織は、偽ソフトにだまされないよう警告。信頼できるセキュリティ企業が公開している駆除ツールを利用するよう勧めている。例えばセキュリティ組織の米サンズ・インスティチュートでは、信頼できる企業/組織の情報やツールへのリンク一覧を公開している。