ウイルス対策最前線

どうなる？ 2005年のウイルス・スパム・フィッシング

岡田 大助
2005/1/15

---

　2004年は非常に多くのウイルスが猛威を振るった年だった。特に“ウイルス戦争”と形容されるマスメーラー型ウイルスの被害は顕著である。攻撃はより巧妙に、そして複雑になり、かつてより懸念されていたゼロデイアタックは現実のものとなった。

　さらに、フィッシング詐欺と呼ばれる新たなサイバー犯罪が台頭してきたことも忘れてはいけない。フィッシング詐欺は2003年ごろから米国内で話題になっていたが、2004年後半には日本語によるフィッシングメールが流通し始め、実際に金銭的被害が発生した。

　今回は2005年の新春企画として、いわゆるウイルス対策ベンダーご三家（シマンテック、トレンドマイクロ、マカフィー）で活躍する現場の専門家に2004年の総括と2005年の予測を語ってもらった。

ウイルス戦争勃発 　〜2004年のトピック（1）

　トレンドマイクロが2005年1月13日に発表した「2004年度ウイルス感染被害年間レポート」によれば、2004年度のウイルス被害報告件数は6万5531件（2003年度は4万7607件）と激増している。また、マカフィーが2005年1月6日に発表した「2004年の感染ウイルスのトップ10と今後の傾向」でも、脆弱なシステムを利用した攻撃は380以上に達し、2003年に比べて約50%増という結果が出ている。IPA/ISECの報告でも2004年のウイルス届出件数は5万2151件と2003年に比べて約3倍である。

　ウイルスの激増の背景には、いわゆる“ウイルス戦争”と形容されたNetsky、Bagle、Mydoomの亜種開発競争がある。これは、ドイツの青年Sven Jaschan（18歳・後に逮捕された）を中心とするグループ「Skynet」がBagleやMydoomといった先行するマスメーラー型ウイルスを攻撃するNetskyを発表し、ウイルス作者同士が挑発しあう形で亜種を次々に作成したもの。マスメーラー型ウイルスとは、ウイルス自身が自己のコピーを添付したウイルスメールを大量に送信するもので感染力が非常に強い。

トレンドマイクロ 岡本勝之氏

　トレンドマイクロの岡本勝之氏（トレンドラボ・ジャパンアンチ・ウイルスセンターウイルスエキスパート）は、「これらのウイルスは技術的に目新しいものはない」という。世界的には大流行したこれらマスメーラー型ウイルスだが、「日本ではマスメーラー型ウイルスがあまり流行しない」（岡本氏）という。岡本氏の分析によれば、通常マスメーラー型ウイルスが送りつけてくるウイルスメールは英文であり、多くの日本人にとって“ゴミ”以外の何物でもない。通常はこれら英文メールに添付されるファイルはクリックされることなくゴミ箱に直行となる。

　しかし日本国内でもNetskyの被害は多かった。その理由を岡本氏は「Netskyの亜種に、エラーメールをかたったものがあったから」と分析する。エラーメールであれば、英語のメールであっても見慣れたものであり、日本人でもうっかり添付ファイルをクリックしてしまうケースがあるだろう。このようにソーシャルエンジニアリングの手法に長けていた場合、英文のウイルスメールといえ注意が必要だ。

密かに忍び寄るbotと呼ばれるプログラム 　〜2004年のトピック（2）

マカフィー 加藤義宏氏（左）と本城信輔氏

　bot（語源はロボット）と呼ばれる悪意のあるプログラムがまん延したのも2004年のトピックの1つだろう。マカフィーによればbotとは「別のソースからのコマンドに応答する自動プログラム」である。同社の本城信輔氏（技術本部 AVERTラボJAPAN ウィルス研究員）によればbotは、アンダーグラウンドでソースコードが公開されており非常に亜種が多いのが特徴だ。「毎日数件の新種が発見され、2004年8月の時点で4000以上、2004年年末には7000以上が存在しているのでは。今日（取材日は2004年12月28日）も何件か発見しました」と本城氏。

　日本でのbotの活動が活発になってきたのは2004年秋以降だ。ちなみにbotに特徴的なのは、年間レポートでは上位10位に何種類かがランクインするものの月間ベースでは上位に顔を出さないという点も挙げられる。つまり年間を通じて、じわじわと増殖しているのだ。

　botは主にファイル共有やPtoP、無線LAN、メールに記されたURLからのダウンロードなどさまざまな経路から侵入してくる。感染するとDoS攻撃や機密情報の収集・漏えい、キーロギング、さらに何らかのプログラムをダウンロードするなどさまざまな悪さをする。本城氏は「いったん感染すると、社内ネットワークに爆発的に繁殖する。企業では持ち込みPCなども感染源として怪しい。常に新しい亜種が出てくるため発見が難しく、社内で怪しいトラフィックが急激に増加しているような場合は感染している可能性が高い」と語る。

　トレンドマイクロの岡本氏も「トラフィックの増加で発見される場合がほとんど。感染は情報を盗み取ることを目的にした内部犯行の可能性もある。botは悪意あるものが狙いを定めた企業向けにカスタマイズされていることが多く、ある企業でのみ発見される亜種もある」という。botはマスメーラー型ウイルスのようにインターネットからフラっとやってくるものではなく、企業内で感染している場合は何らかの方法で意図的に送り込まれてきている可能性が高い。

シマンテック 吉田一貫氏（左）と野々下幸治氏

　シマンテックの吉田一貫氏（プロダクト・マーケティング部リージョナル・プロダクト・マーケティング・マネージャ）によれば、亜種を示すアルファベットが3けた（つまり26×26×αの亜種！）に達するものもあるという。吉田氏は「botは“目立たない”というのが非常に怖い」と述べる。

　忍び寄るbotへの対処法だが、同じくシマンテックの野々下幸治氏（法人営業事業部エグゼクティブシステムエンジニア）は「定期的なフルスキャンが重要だ。新しい定義ファイルによって感染が発覚することがある」という。また、クライアントファイアウォールの導入も効果的だ。ゲートウェイに設置する既存のファイアウォールでも「中から外への通信についてもきちんとポリシーを見直すべき。不要であればIRCを止める、ログを調査して怪しいセッションを発見するといったいままでのやり方を徹底するだけでも効果は上がる」（野々下氏）と語る。

　またマカフィーの加藤義宏氏（技術本部本部長）は、「botの感染は持ち込みPCや共有ファイルを通じて行われるため、もはやメールだけを監視していればいいというわけにはいかない。bot自身がIDとパスワードのリストを持って辞書攻撃をしてくるので、共有フォルダには複雑なIDとパスワードを使うべきだ」と助言する。

ウイルス作者がビジネスライクになってきた 　〜2004年のトピック（3）

　今回の取材に当たり、3社の専門家がともに口をそろえて「ウイルス作者の動機が、愉快犯的なものから金銭目的になった」と語る。前述のマスメーラー型ウイルスにせよ、botにせよ、この傾向が見て取れる。

　マカフィーの本城氏は、論文“Who Wrote Sobig”を引き、「この論文の推測が当たっているかは別として、動機について分析した部分については注目すべき。ウイルスがSMTPサーバを乗っ取ったり、ウイルス自身がSMTP機能を持ったりするようになった。これらはスパムメールを送信する踏み台として使われることが多い。あくまでも推測だが、スパム業者からウイルス作成を依頼されているのかもしれない」と推測する。

　Netskyがほかの競合ウイルスを執拗（しつよう）に攻撃したのも、サル山のボス争いのように群れの中での序列付けと同様で、スパム業者などのスポンサーに対するアピールだったのかもしれない。より稼ぐために、より優秀な機能をアピールするといった“自由競争”なのだ。また、スパム業者自身がウイルスを作成している可能性もある。とにかく、動機が金銭的になったことがウイルスの増加につながっている。

1/3

Index
どうなる？ 2005年のウイルス・スパム・フィッシング
	Page1 ウイルス戦争勃発 密かに忍び寄るbotと呼ばれるプログラム ウイルス作者がビジネスライクになってきた
	Page2 現実のものとなったゼロデイアタック スパイウェアは新たな脅威？ 日本独自のウイルスが悪質に
	Page3 どうする？ 2005年のウイルス対策 日本語スパムも急増の気配 フィッシング詐欺は振り込め詐欺クラスに成長するか

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）