第14回で紹介した、Webサイトの改ざんをきっかけにした一連の攻撃であるガンブラーや、第13回のオートランなど、多くの不正プログラムがここ数年で登場している。しかし、企業のシステム管理者に、頭を悩ませた不正プログラムをたずねるとダウンアドとの答えが多いのではないだろうか。
ダウンアドは何が怖い?
「WORM_DOWNAD(ダウンアド)」はWindowsの「MS08-067」という脆弱性を悪用して感染を広げる機能を持ったワームとして2008年10月に登場した。のちに
- USBメモリへの感染
- パスワード攻撃
- Webから他の不正プログラムをダウンロードする
など、社内ネットワークで感染を広げる機能が段階的に複数追加された。そのため、駆除したつもりなのに根絶されていなかった、一度駆除したにもかかわらず別の不正プログラムに再感染してしまうなど、対策に追われ復旧に何カ月も要する事例が報告された。脅威を正しく理解するために、このダウンアドが持つ機能に焦点をあてて解説したい。
ダウンアドが最初にコンピュータに感染する経路として一般的なのは、メール添付だ。中には、マイクロソフトを偽ったものも確認されている。しかしそれだけでなく、第13回でオートランを悪用するケースも確認されている。社外からUSBメモリで社内に持ち込まれることもあるし、社内の感染したコンピュータから他のコンピュータに感染が拡大する可能性もある。
ダウンアドのもっとも基本的な動作は、「Windowsの脆弱性(MS08-067)を利用して感染する」ことだ。最初の感染で脆弱性を利用する場合もあるが、ダウンアドで一番恐ろしいのは、ネットワーク内で感染が拡大することだ。感染したコンピュータの不正プログラムを駆除しても、修正パッチを適用していなければ再感染してしまうため、感染が長期化する傾向があるといえる。
2番目のパスワード攻撃とは、コンピュータへのログインに使われるログイン名とパスワードを推測することで、システムへ不正にアクセスしてしまう行為だ。
通常コンピュータを操作するためにはログイン名とパスワードが必要になるが、ログインできてしまえば、不正プログラムを感染させることも容易だ。パスワード攻撃の機能を持った不正プログラムは特定のログイン名とパスワードのリストを保有しており、社内ネットワークで感染を拡大する際にこの機能を用いる。
たとえば図1のようなリストを持っており、ログイン名が「admin」、パスワードが「123123」などリストにある単語をパスワードに順番に試していく。PCではここまで安易なパスワードを使用しているケースは少ないかもしれないが、複数のシステム管理者が操作するようなサーバの場合、安易なパスワードを使用している企業は非常に多いと想定される。
他の不正プログラムをダウンロード
現在多くの不正プログラムが持つ特徴に、他の不正プログラムを呼び込む(Webからダウンロードする)活動がある。1つの不正プログラムに感染しただけで、他の不正プログラムをWebからダウンロードし多重感染してしまうのだ。不正プログラムAが不正プログラムBを呼び込み、不正プログラムBが不正プログラムCを呼び込む現象が起こる。このため、仮に不正プログラムAを駆除しても、いつの間にか他の不正プログラムに感染するといった事態が生じることがある。
さらにダウンアドは、1台のコンピュータに対して多重起動を防ぐ機能も搭載されている。攻撃者の意図が不明なので想定になるが、一般的に同じプログラムが多重起動すると不具合が起こってしまったり、コンピュータのリソースを消費してしまうという問題がある。ダウンアドこのような問題が起こらないようにするため、この仕組みを搭載していると考えられる。
「WORM_DOWNAD(ダウンアド)」をどう防げばよいのか
さまざまな機能が搭載されているダウンアドだが、もっとも基本的な対策は脆弱性に対する修正パッチを適用することだ。また、ネットワーク上で不正プログラムのふるまいを検知できるようなネットワーク型IDS/IPSを導入していれば、万が一感染してしまった場合でも早急な復旧が可能だ。
この連載の記事
-
第28回
TECH
いつの間にか、あなたもネット犯罪者? -
第27回
TECH
ゲームのアイテムを日本円に替えるRMTにまつわる危険とは? -
第26回
TECH
身代金要求からワンクリック詐欺、犯罪ツールには要注意 -
第25回
TECH
われわれの身近に存在するアンダーグラウンドマーケット -
第24回
TECH
オフライン端末への脅威は、こうすれば防げる! -
第23回
TECH
オフライン端末へのウイルス対策5ケースとつきまとう欠点 -
第22回
TECH
ダウンアドが院内感染!オフライン端末の被害事例とは? -
第21回
TECH
市販のUSBメモリにウイルスが混入する理由とは? -
第20回
TECH
仮想アプライアンスのここがメリット! -
第19回
TECH
セキュリティには仮想アプライアンスという選択肢を -
第18回
TECH
ウイルスバスター2011 クラウドに搭載された3つの新機能 - この連載の一覧へ