現在地 HOME > 掲示板 > IT1 > 819.html ★阿修羅♪ |
|
エンタープライズ:コラム 2003/09/02 17:35:00 更新
「Sobig.G」の機能を予測する
http://www.zdnet.co.jp/enterprise/0309/02/epc03.html
Sobigウイルスの作者は、亜種のリリースを辛抱強く計画的に行っている。
悪用可能なPCのネットワークを築き、盗難IDを使い、真の意図を隠すため
に相当な時間をかけている。
ウイルス対策コミュニティの大半と同様、私も、向こう数日か数週間以
内に、Sobigワームの強化された新亜種が登場するのではないかと懸念し
ている。Sobig.Fについての知識は既にかなり広まった。私たちは、作者
(察するところ集団ではなく個人のようだ)がこれまでの6種のSobigを通
して、このワームの強化を続けてきたことも知っている。
だが私たちは、作者がこれから何をしようとしているのかは知らない。
私は個人的に、この作者の望みはインターネットをダウンさせることでは
なく、インターネットをコントロールすることではないかと考えている。
Sobigワームが最初に登場したのは2003年1月のこと。無害そうな、よく
ある件名で人々に電子メールメッセージを開かせて感染を広げようとする
手口のものだった。
最新亜種は、フェニックスのインターネットサービスプロバイダー、
Easynewsのアカウントを使ってポルノサイトにアップロードされたファイ
ルがそもそもの感染源だ(8月25日の記事参照)。しかし、Easynewsのア
カウントを開くのに使われたカナダのPCは、それ自体が乗っ取られたマシ
ンだった。さらに、このアカウントを開くために使われたクレジットカー
ドも、盗難カードだった。
Sobigが最初に登場して以後、次々に放たれてきた亜種にはすべて、期
限が設定されている。あらかじめ定めれた期限を過ぎると機能しなくなる。
そしてその後しばらくすると作者は、欠陥を修正したアップデート版をリ
リースする、というわけだ。
私たちは今では、Sobigが新バージョンでワーム配信システムを大幅強
化したことを知っている。電子メールでワームを拡散するSobigのコンポ
ーネントは、その第1章でしかない。第2章は、ほかのソースからのダウン
ロードのはずだった。初期のSobigも、ダウンロードのために、あるイン
ターネットアドレスにコンタクトを試みている(このサイトはすぐに閉鎖
された)。
しかし、研究者はSobig.Fの中に、Sobigに感染した世界中のシステムが
追加命令を要求する相手となる脆弱なホームPC 20台のアドレスを見つけ
出した。感染システムが第2のコンポーネントをダウンロードするはずだ
った8月22日金曜日の世界時間19時より前には、これらのサイトにはコー
ドやURLは置かれていなかった。作者は恐らく、予定時刻の直前に、これ
らのサイトにアップデートコードを配備しようとしていたのだろう。
だが折よく、ウイルス対策研究者は感染の第2章が始まる前に、Sobig.F
についての情報を関係当局に伝えた(8月25日の記事参照)。結果、20台
のPCのうち18台は遮断された。残りの2台のうち1台からは返答が得られな
いまま魔の刻を迎えた。残りの1台は世界数千台のSobig感染PCとコミュニ
ケーションを取ったが、すぐにアクセス過多に陥った。またこのPCにはポ
ルノサイトのURLしか含まれておらず、一部で予想されていたような悪質
コードは含んでいなかった。
もし作者の意図どおりに事が運んでいたら、世界のすべてのSobig感染
PCは20台のうち1台とコンタクトを取っていたはずだ。この結果、感染PC
をさらに別のシステムに誘導したり、悪質なコードや特定のサイトを攻撃
する命令などを感染PCに提示していたかもしれない。
Sobig.G――恐らく次の亜種はそう呼ばれるだろう――は、この経験を
生かし、さらにずる賢く、より危険なものになってもおかしくない。暗号
化を強化し、例えば異なる国の100のアドレスに誘導する形にして、事前
にアドレスが発見されても遮断をはるかに難しくするかもしれない。
Sobig.Fにもし、作者が最後の1分間に20のIPアドレスを変更できる機能が
備わっていたのだとしたら、この機能はうまく作動しなかったことになる
が、そこがSobig.Gでは修正されるかもしれない。
犯罪に手を染めるほかのハッカーと同様、Sobigの作者は、各バージョ
ンのリリースを辛抱強く計画的に行っている。悪用可能なPCのネットワー
クを築き、盗難IDを使い、自分の真の意図を隠すために相当な時間をかけ
ている。
実際の攻撃の数日前からWindows Updateのサイトを落とすという意図を
明確にしたMSBlastと違い、Sobig.Fはその計画を、ウイルスコードの中の
暗号化された部分に隠していた。ウイルス対策研究者はその暗号部分のク
ラックに成功したが、それは感染の第2章が始まるわずか数時間前のこと
だった。
だが私たちは、ここで作者の意図を読み違えている可能性がある。作者
が意図しているのは、サービス妨害攻撃や悪質な事件を引き起こすことで
はなく、非常に大きなプロキシネットワークを作ることかもしれない。世
界中のコンピュータを集めてプロキシネットワークを作りことで、匿名で
電子メールを大量発信することができる。これを作った者は誰であれ、金
もうけができる(8月26日の記事参照)。このシナリオでは、Sobigはイン
ターネットに、一部の人が8月22日に起きると予想したようなダウンを招
くわけではなく、望まれない電子メールの海に飲み込まれ、ゆっくりと痛
々しく迎える死に貢献するのみだ。
Sobigを恐れて人々がネットを介した商品購入を敬遠、あるいはコンピ
ュータを使わなくなる可能性はあるかとの質問を受けた。私のみるところ、
そのような気配はまだない。Sobigの意図が何であれ、私たち全員がウイ
ルス対策ソフトをインストールして最新の状態に保っていれば、またパー
ソナルファイアウォールをインストールしてあれば、今後、このような電
子メール大渋滞に見舞われることはなく、そしてインターネットは再びフ
レンドリーな場所に戻ることができるのだ。
関連記事
Sobigは「F」で終わらない?
ウイルス作者が捕まらない理由
[DJ] FBI、Sobig.Fの感染源とみられるサイトに召喚状
「Sobig.Fを検出しました」――自動応答メールがさらなる混乱を招く?
スパム発射台としてのSobig.F、攻撃の第2波は回避
二つのワームの猛攻でネットワーク大混乱
メールはSobig.Fだらけ――前代未聞の感染規模
新ワームとウイルスの2重攻撃でネットワーク渋滞
帰ってきたSobig――爆発的に拡散する新亜種「Sobig.F」
[Robert Vamosi,ZDNet/USA]