NetSkyのDDoS攻撃に備えるメジャーPtoPサイト

　米国時間7日に、NetSkyワームの新亜種に感染したマシンから、各々のウェブサイトへDDoS（分散サービス拒否）攻撃を受けるとみられているKazaaとeDonkeyは、この攻撃に備える準備を進めている。

　先週初めて出現したNetSky.Qは、ファイル共有クライアントソフトや、ハッキング／クラッキングツールでファイル共有を行なっている、さまざまなウェブサイトを攻撃するよう設計されている。標的とされたなかには有名なKazaaとeDonkeyのサイトもあり、またこの攻撃は6日間続くことになっている。その後、ほんのつかの間だが攻撃が止んだ後で、また新たな攻撃が始まるだろう。6日に発見されたNetsky.Tは、4月14日から新たなDDoSを仕掛けるよう設定されており、こちらの攻撃は10日間続くと見られている。

　ターゲットとされたKazaaやeDonkeyは比較的小さな会社で、大規模なDDoS攻撃に耐えられるだけのインフラがないため、彼らは大きな被害を受けるだろうと、F-Secureのウイルス対策研究ディレクター、Mikko Hypponenは予想している。「NetSkyは広く蔓延しているので、これらのサイトが負荷に耐え切れずダウンしてしまっても不思議はない」（Hypponen）

　NetSkyのこれらの亜種は、KazaaとeDonkeyのウェブサイトだけを攻撃するよう設計されているので、実際のファイル共有ネットワークが影響を受けることはないだろう。

　ウイルス対策ソフトメーカーTrend Microの研究部門であるTrend Labsのウイルスコーディネーター、Marco Righettiは、NetSky.Qは標的とするサイトに問題を引き起こすかもしれないが、NetSky.Tについてはそれほど急速には感染が広まっていないことから、現時点では深刻な問題は起こりそうにないと述べている。

　しかしNetSkyには、ワームを勝手に新亜種に変更できる「裏口」が存在するため、ユーザーが以前感染したNetSkyを駆除していない場合、NetSkyが最新亜種に「アップグレード」され、マシンを攻撃に使われてしまうおそれがある。

　また、NetSky.Qより前に登場した合わせて16の亜種では、感染したマシンからBagleワームを駆除しようとする特徴があったが、NetSky.QやTなど最近の亜種にはこうした振る舞いが見られない。このことから、以前の亜種をつくったのとは別のグループが、新しい亜種を書いているとの可能性が示唆されている。

　NetSky.Qの作者らは、このワームのコードに埋め込んだメッセージのなかで、自分たちには「犯罪者になりたいという発想」はなく、このワームを使ってスパムリレーを行うような真似はしていないと主張している。彼らはまた、ウイルス作成用のツールキットを使っている「子供」ではなく、「ハッキングや、違法なコンテンツの共有を防ぎたい」のだと主張している。

　しかし、Trend MicroのRighettiは、NetSky作者らのもっともらしい言い分を斥けている。彼らが攻撃を仕掛けようとしているファイル交換サービスからの被害よりも、彼らの手になるワームがもたらす被害のほうが大きいというのが、Righettiの考えだ。

　「Kazaaは音楽ファイルを違法に配布する手助けをしている。また他のサイトではパスワードやキージェネレイターを配っている。それに対して、このワームの作者らは道義的に正しいことをしようとしているらしいが、ただしそう思っているのは本人たちだけで、実際には10倍も悪質だ」（Righetti）

　Symantecセキュリティレスポンス部門シニアマネージャーのKevin Hoganは、NetSkyのコードのなかに記されたメッセージを無視すべきだと述べている。NetSkyのソースコードがアンダーグラウンドで活動するハッカーの間に出回っており、誰でも新しい亜種をつくれてしまう状態にあるというのが彼の考えだ。「これまでに登場した亜種と今回見つかった亜種が、同一グループの手になるものかどうかを見極めるのは難しい。これらのワームをつくった連中は皆の目をごまかそうとしているのかもしれない」（Hogan）