「最悪の事態はこれから」? 不気味に急拡大する「Downadup」ワーム



 過去最大級のワーム感染が広がっている。「Downadup」(別名Conficker、Downada、Kidoなど)と呼ばれるワームが、企業ネットワークなどを中心に拡大。世界のPCの感染総数は「900万台」とも「16台に1台」ともいわれている。実際は、さらに多い可能性が高い。そして重要な問題は、このワームが次に何を仕掛けてくるかだ。


 Downadupは、Windowsの脆弱性「MS08-067」(Windows Server ServiceのRPC処理で、リモートでコードが実行される)を悪用する。Microsoftは昨年10月末、セキュリティレベル「緊急」として、OS用のパッチを発行している。

 当初、東南アジアや中国で拡散活動が見られたが、年明けごろから感染報告が急増し、亜種の登場などで拡大した。各セキュリティベンダーが警告を出しているほか、Microsoftも1月13日に無償の駆除ツール「Microsoft Software Removal Tool」をアップデートして対応している。

 ところが、ワーム感染は終息に向かうどころか拡大する一方だ。F-Secureは1月16日、同12日から4日間で新たに657万台のPCがDownadupに感染し、累計で897万台(推計)になったと報告した。1月21日には、Panda Security Softwareが「感染率は最低でも5.77%」と発表した。実に、16台に1台の割合である。被害台数は、昨年12月初めの段階では50万台程度とみられていたので、その拡大ぶりが分かるだろう。関係者は「ここ数年で最大」「2003年のBlaster以来」(Pandaなど)と口をそろえる。


 Downadupがこれだけ猛威を振るう大きな理由は、パッチの未適用だ。だがそれだけでなく、このワームの感染手法は巧妙で、考え抜かれたものであることをうかがわせる。

 Downadupの最新の亜種は、ネットワーク、あるいはUSBメモリーなどリムーバブルメディアという2つの感染経路を持っている。ネットワークで脆弱性を利用して拡散するだけでなく、辞書攻撃でパスワードを破って共有ファイルに自身の複製を作る。またリムーバブルメディアでは自動再生機能「Autorun」を利用。感染したメディアを経由してPCに入り込んでしまう。

 Microsoftのセキュリティブログによると、「圧縮化と暗号により、ウイルス対策ソフトウェアによる検出を困難にする」という。セキュリティソフトウェアのアップデートを阻止する場合もあるようだ。

 こうしたことから、Downadupは企業ネットワークを中心に広がっている。企業は、確認作業などのためセキュリティアップデートが遅れることが多く、また、いったんファイアウォールの内側にマルウェアが入ってしまうと駆除が難しい。

 Downadupに感染したPCはサーバーにアクセスするが、通常とは異なり、サーバーは1台ではない。F-Secureによると、ドメイン名を毎日生成する複雑なアルゴリズムが仕組まれており、公開されているWebサイトのタイムスタンプ情報をベースとして毎日変更する。そのため、悪用されたドメインを遮断してワームの根を絶つのは、ほとんど不可能に近いという。

 F-Secureの「897万台」という推計は、これらのドメインに登録してトラフィックを調べ、割り出したものだ。ドメインには自由に登録できるが、感染を遮断することはできない。一方、攻撃者はこのドメインを利用して感染したPCにアクセスし、マルウェアを送り込むことができる。このように、なすすべがない状態であることから、ユーザーがDownadupの脅威にさらされる様は「まるで、小さな子どもが高速道路にふらふらと迷い込むのを見ているようだ」(Guardian)という。


 セキュリティ専門家は、このワームの不気味さと不安を隠せない。これまでのところ、ボットネット活動など悪質な行為は見られず、実害がどんなものになるのかが判然としない。このためNational Business ReviewにコメントしたSymantecの幹部は「最悪の事態はこれからだ」との見方を示している。

 セキュリティ企業Damballaは、「ワームの第1の目的は、ウイルス対策ソフトウェアを出し抜くこと」と分析。ワームのように繁殖し、ボットのように振る舞う「ハイブリッド型」の新種マルウェアとしている。SecureWorksのマルウェア研究担当ディレクターはDarkReadingの取材に、「(攻撃者は)まず、大量のノードを操作するためのボットネットコントローラを入手する必要があるだろう」と述べている。

 F-Secureはウクライナが震源地とみているが、これ以上のことは分からないないようだ。「現在は広がっているだけ。だが、これがボットネットになり、その後スパム送信や情報窃盗に使われるとしても、驚きではない」としている。

 National Business Reviewは、これらセキュリティ専門家の意見をまとめ、「ワームの作者はある特定の日を設定して大規模な攻撃を仕掛けるかもしれないし、少しずつ攻撃するかもしれない。いずれも可能だ」としている。

 現在、ユーザーができる対策は、1)Microsoftが提供するパッチをあて、駆除ツールを使う、2)強力なパスワードを設定する、3)セキュリティベンダーが提供するソフトウェアを最新のものに更新する――など。まず当たり前のことをきちんとやることだ。なお、US-CERTは、Microsoftが対策として示しているAutorun機能の無効化だけでは不完全だとしている。

関連情報
(岡田陽子=Infostand)
2009/1/26 09:04