Soberの新亜種が大暴れ--電子メールトラフィックに混乱のおそれも

　先週末に初めて確認された最新のSoberワームが、過去24時間の間に膨大な数のウイルス感染メールを生み出しており、これが企業のメールゲートウェイに問題を引き起こすかもしれないと、セキュリティ企業各社が述べている。

　このSoberの亜種は、CIAあるいはFBIからだとする電子メールを生成する。これらのメッセージには、受信者が違法なウェブサイトを見たとして、添付ファイルの中にある質問に回答するように書かれている。受信者がこの添付ファイルを開くと、ワームがコンピュータに感染し、ハードディスク内にあるすべてのメールアドレスにウイルスのコピーを送信されてしまう。

　McAfee Australiaのマーケティングディレクター、Allan Bellによると、Soberのコピーは、同社のパートナーであるPostiniが過去24時間の間に発見した全ウイルス感染電子メールの90％以上に含まれていたという。

　「（Soberは）1680万件（のウイルス感染メール）のうち、約1500万件を生成していた。トラフィックの約90％がこのウイルスによるものということになる」（Bell）

　Bellによると、このウイルスは大量のトラフィックを生み出すことができるという。この大量のトラフィックは、DoS（サービス拒否）攻撃のような形で、多くの電子メールゲートウェイの処理能力を低下させるか、それらを過負荷状態にしてしまう。DoS攻撃とは、大量のデータをリクエストして狙ったシステムをダウンさせようとする行為を指す。

　「大量のトラフィックが生成されると、それ自体がDoS（攻撃）のようになってしまうが、これはメールゲートウェイが（これらを）の処理／特定／阻止しなくてはならなくなるからだ。それを処理するだけで、すべての処理能力が低下し、普通の電子メールの処理が止まってしまう」（Bell）

　英国のウイルス対策ソフトウェアメーカーSophosは、このウイルスについて、McAfeeが主張するより感染範囲がやや狭いとしながらも、影響が大きいことを認めている。Sophosのデータによると、このSober亜種は現在、全ウイルストラフィックの65％以上を占めているという。この数値は、同社が初めて警告を出したときの35％から一気に上がっており、現在最も優勢なウイルスとなっている。

　Sophosのシニア技術コンサルタント、Graham Cluleyによると、巧みな文章がこのウイルスの幅広い感染につながっているという。

　「法律を遵守する人であれば警察の問い合わせに協力したいと考えるし、違法なウェブサイトを訪れたことで冤罪を被るのではないかと考えてパニックを起こし、勝手に送りつけられた電子メールの添付ファイルをクリックしてしまう人もいるだろう」（Cluley）

　McAfeeは現地時間23日午前に、このワームが大量の電子メールトラフィックを生成していることを理由に、その深刻度を「中レベル」に引き上げた。また他のセキュリティ対策企業各社も、このSoberワームの新亜種について警告を発している。

　F-Secureでは、このワームの深刻度を、3段階からなる同社の評価システムの最高位にあたる「Radar Level 1 Alert」としている。同社は「インターネットオペレータ各社によって、この数時間の間に、同ワームに感染した電子メールが数百万通も確認されている」と同社のウェブサイトに記している。

　Symantecはこのワームの深刻度を「レベル3」としている。同社の評価システムでは、レベル5が最も深刻度が高い。同社は23日付けの声明のなかで、19日以来合わせて1600通以上の企業顧客宛てメールと、300通を超える一般ユーザー宛メールに潜在的な脅威を発見したと述べている。

　同様に、Trend Microもこのワームの深刻度を「中レベル（medium）」とする警告を発している。

　なお、先月始動したCommon Malware Enumerationシステムでは、このワームは「CME-681」となっている。