PCの脆弱性を偵察するワーム、セキュリティ専門家らが警戒

　セキュリティ専門家が、脆弱性を評価することのできるワームに対して警戒を強めている。このワームは、コンピュータのセキュリティ上の問題を調べ、結果をワームの作成者に送ることが可能で、今後大きな脅威となる可能性があるという。

　米国時間10日、電子メールセキュリティ企業Blackspider TechnologiesでCTOを務めるJames Kayは、脆弱性を評価するこのワームについて、現時点ではまだほとんど出回っていないと述べた。だが、ウイルス作成者が攻撃の焦点を慎重に絞り、検知されないよう策を施していることから、同ワームは今後数を増すだろうとKayは予測している。

　「同ワームの発見数はまだあまり多くないが、これは将来的に勢いを増すという前兆だ。われわれは、ワームは今後数を減らし、代わりにターゲットをさらに絞り込むようになると予測している。今回のワームが見せた偵察行為は、この予測を裏付けるものである。こうして収集した（コンピュータの脆弱性に関する）情報は、焦点を絞り込んだ攻撃を実現するために利用される」（Kay）

　脆弱性評価ワームのコードは、オープンソースの「Nessus」のような脆弱性スキャナーのコードとは異なる。また、作成者は悪質なプログラムのコードをリモートから変更することができるので、同ワームにも定期的に変更が加えられる可能性があると、Kayは指摘している。

　「脆弱性を評価するプログラムのコードは、通常は実に膨大なものとなる。ところが、このワームは小さく軽くて見つかりづらい。姿を変えながら、限られた数の脆弱性だけを見つけられればよいと考えているのだろう」（Kay）

　Counterpane Internet SecurityのCTOであるBruce Schneierもまた、脆弱性評価ワームの危険性に関して、今週初めにみずからのブログの中で警鐘を鳴らした。Schneierは、セキュリティ企業Secuniaが2月に発見した「SpyBot.KEG」のようなワームが、これからの主流になるのではないかと示唆している。

　「2005年には、多形性ワームや変態するワーム、あるいは、侵入経路を隠蔽する技術を利用するワームといった、大胆かつ巧妙かつ包括的な手口を利用する、より複雑なワームやウイルスが、今までにないほど増加するのではないかと危惧している。例えば、SpyBot.KEGがその一例だ。SpyBot.KEGは先進的な脆弱性評価型ワームで、発見した脆弱性情報をIRCチャネルを介してワーム作成者に渡すことができる」（Schneier）

　一方、セキュリティ対策ソフトウェアメーカーのF-Secureは、脆弱性を評価するワームをそれほど危険だとは考えていない。F-SecureのプロダクトマネージャMikael Albrechtは、「そうしたワームは幾種類か発見しているが、現時点では深刻な脅威ではない」と述べている。