ウイルススキャンをすり抜ける--Bagleワーム、一挙に5つの亜種出現

Munir Kotadia(ZDNet UK)2004年03月02日 08時39分

 Bagleワームの5つの新亜種が先週末に登場した。このうち2つは、特に企業のウイルス対策ソフトウェアのスキャン技術に問題を引き起こすと、専門家らは警告している。

 BagleのバージョンC、D、E、F、Gが、先週末に流行し始めた。最初の3つは、電子メールを介して感染し、ユーザーが添付ファイルを開くとパソコンに感染するもので、オリジナルのBagleワームに非常によく似ている。だがBagle.FとBagle.Gは、大半の企業のウイルス対策ゲートウェイをすり抜けるよう設計されている。

 フィンランドのセキュリティ会社F-Secureのウイルス対策責任者Mikko HypponenはZDNet UKに対し、Bagleワームの最新亜種は暗号化されたZipファイルの形でメールに添付され、メールにはその暗号化されたファイルへのアクセスに必要なパスワードが含まれている、と述べた。つまり、「.zip」ファイルは通常フィルタに遮断されないため、企業はこのワームを水際で検知できない可能性が高い。また、暗号化されているため、ウイルススキャン機能もZipファイルを展開して調べられないことになる。「多くのゲートウェイスキャン機能ではファイルを展開してスキャンできないことから、このワームはこの隙をうまくくぐり抜けている」(Hypponen)

 ウイルス対策会社SophosのシニアテクノロジーコンサルタントであるGraham Cluleyは、「ISP(インターネットサービスプロバイダ)がいかに優秀であっても、ウェブメールアカウントやウイルス対策ゲートウェイ製品はメールスキャンをする程度だ。暗号化されたZipファイルの中にあるワームを検知することには役に立たない」と話している。

 ウイルス対策会社McAfeeの研究部門McAfee AvertのマーケティングマネージャーDavid Emmもこの意見に同意している。「Zipファイルの中身が正当なファイルである可能性のほうがずっと高いことから、.exe形式のスクリーンセーバーや.pifファイルに比べ、.zipファイルが遮断される可能性ははるかに低い。また、このファイルがフォルダのように見えれば、受け取ったユーザーはこれが良性のものであると考えてしまいがちだろう」(Emm)

 Emmは、このように短期間に多数の亜種が出回るワームには、他に例がないとコメントしている。「多数の亜種が出回ることは珍しくないが、これほど短期間に多数の亜種が見つかるケースには、前例がないと思う」(Emm)

 なおBagle FとBagle Gは、2005年3月25日に期限切れとなるようコーディングされている。

この記事は海外CNET Networks発の ニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]