猛威を振い続けるSobig.F--被害拡大防止策が裏目に？

　2カ月前に自動消滅するはずだったSobig.Fが、いまだにインターネット上で猛威を振るっている。

　電子メールセキュリティ会社の英MessageLabsは28日（現地時間）、11月に電子メールウイルススキャンサーバが検出したSobig.Fの総数は、26万4000コピーにのぼり、Sobig.Fが11月の月間トップウイルスの第3位だったと発表した。

　Sobig.Fの勢いは、最盛期と比べればかなり落ちている。しかしこのウイルスには、他のSobig類のいくつかと同様、9月10日以降は感染を広げないという活動期限が内蔵されていることを考えると、やはり驚くべき猛威だと言えるだろう。MessageLabsによると、Sobig.Fが期限を過ぎても感染を広げている理由には、このウイルスによる被害拡大を防ぐ努力が功を奏したことや、日付が間違って設定されているパソコンが数多く存在することなど、さまざまな要因が関わっているという。

Sobigウイルスは2003年1月にはじめて出現し、その後数多くの亜種が出回った。Sobig.Fが最初に検知されたのは8月19日。このウイルスは電子メールを介して感染し、企業ネットワークに大混乱を引き起こしたが、その真の目的はパソコンを乗っ取ることだ。

　Sobig.Fに感染したパソコンは、ウイルス作者が個別にハッキングした20のウェブサーバに定期的に接続し、ファイルをダウンロードしようとする。一部の専門家は、このダウンロードされたファイルが大規模なDoS攻撃を仕掛ける恐れがあったと考えている。しかし、ハッキングされたサーバが攻撃前にオフラインになったため、DoS攻撃は未然に防がれた。

　MessageLabsは、一部のSobig.Fコピーが自動消滅せずにいるのは、こうした被害防止措置が原因ではないかと考えている。「Sobig.Fに感染したパソコンがコードを完全にダウンロードし終わる前に、ターゲットのサーバの接続が切れてしまったのだ」とMessageLabsの主任情報セキュリティアナリスト、Paul Woodは言う。「ファイルがダウンロードされて、パソコンの感染が最終段階にあれば、すでに攻撃されたことを他人に気付かれないようにするため、Sobig.Fのコピーをそれ以上広めたりしないはずだ」（Wood）。しかし実際は、Sobig.Fに感染するパソコンは日付をチェックしておらず、感染が広まりつづけているのだ、とWoodは考えている。

　Sobig.Fには停止メカニズムが内蔵されているため、現在Sobig.Fを受信したパソコンはそれを転送しようとはしないはずだ。しかし、パソコンのなかには、日付の設定が間違っているものがあることも、Sobig.Fの長命を説明する別の理由となっている。ネットワークに接続されたパソコンは通常、中央のサーバから日時情報を入手しているが、家庭のパソコンでは内部時計と、それを動かす小さな電池に頼っている。

　もしこの内蔵電池が切れたまま交換されていないと、そのコンピュータには正しい日時がわからない。MessageLabsによれば、ネットにつながったパソコンのなかにもこうしたものがたくさんあり、8月にこうしたパソコンに感染したSobigはその後も活動を停止していないという。