ウイルス解析の現場その4　ダウンアドの脅威

システム管理者をもっとも悩ませたウイルス「ダウンアド」

2010年09月06日 09時00分更新

文● 飯田朝洋／トレンドマイクロ株式会社セキュリティエキスパート本部セキュリティエンハンスメントサポートグループ
Threat Monitoring Center 課長

第14回で紹介した、Webサイトの改ざんをきっかけにした一連の攻撃であるガンブラーや、第13回のオートランなど、多くの不正プログラムがここ数年で登場している。しかし、企業のシステム管理者に、頭を悩ませた不正プログラムをたずねるとダウンアドとの答えが多いのではないだろうか。

ダウンアドは何が怖い？

　「WORM_DOWNAD（ダウンアド）」はWindowsの「MS08-067」という脆弱性を悪用して感染を広げる機能を持ったワームとして2008年10月に登場した。のちに

USBメモリへの感染
パスワード攻撃
Webから他の不正プログラムをダウンロードする

　など、社内ネットワークで感染を広げる機能が段階的に複数追加された。そのため、駆除したつもりなのに根絶されていなかった、一度駆除したにもかかわらず別の不正プログラムに再感染してしまうなど、対策に追われ復旧に何カ月も要する事例が報告された。脅威を正しく理解するために、このダウンアドが持つ機能に焦点をあてて解説したい。

　ダウンアドが最初にコンピュータに感染する経路として一般的なのは、メール添付だ。中には、マイクロソフトを偽ったものも確認されている。しかしそれだけでなく、第13回でオートランを悪用するケースも確認されている。社外からUSBメモリで社内に持ち込まれることもあるし、社内の感染したコンピュータから他のコンピュータに感染が拡大する可能性もある。

　ダウンアドのもっとも基本的な動作は、「Windowsの脆弱性（MS08-067）を利用して感染する」ことだ。最初の感染で脆弱性を利用する場合もあるが、ダウンアドで一番恐ろしいのは、ネットワーク内で感染が拡大することだ。感染したコンピュータの不正プログラムを駆除しても、修正パッチを適用していなければ再感染してしまうため、感染が長期化する傾向があるといえる。

　2番目のパスワード攻撃とは、コンピュータへのログインに使われるログイン名とパスワードを推測することで、システムへ不正にアクセスしてしまう行為だ。

　通常コンピュータを操作するためにはログイン名とパスワードが必要になるが、ログインできてしまえば、不正プログラムを感染させることも容易だ。パスワード攻撃の機能を持った不正プログラムは特定のログイン名とパスワードのリストを保有しており、社内ネットワークで感染を拡大する際にこの機能を用いる。

　たとえば図1のようなリストを持っており、ログイン名が「admin」、パスワードが「123123」などリストにある単語をパスワードに順番に試していく。PCではここまで安易なパスワードを使用しているケースは少ないかもしれないが、複数のシステム管理者が操作するようなサーバの場合、安易なパスワードを使用している企業は非常に多いと想定される。

図1　パスワード攻撃のリスト

他の不正プログラムをダウンロード

　現在多くの不正プログラムが持つ特徴に、他の不正プログラムを呼び込む（Webからダウンロードする）活動がある。1つの不正プログラムに感染しただけで、他の不正プログラムをWebからダウンロードし多重感染してしまうのだ。不正プログラムAが不正プログラムBを呼び込み、不正プログラムBが不正プログラムCを呼び込む現象が起こる。このため、仮に不正プログラムAを駆除しても、いつの間にか他の不正プログラムに感染するといった事態が生じることがある。

図2　他の不正プログラムをダウンロードする仕組み

　さらにダウンアドは、1台のコンピュータに対して多重起動を防ぐ機能も搭載されている。攻撃者の意図が不明なので想定になるが、一般的に同じプログラムが多重起動すると不具合が起こってしまったり、コンピュータのリソースを消費してしまうという問題がある。ダウンアドこのような問題が起こらないようにするため、この仕組みを搭載していると考えられる。