MyDoomウイルス感染拡大--SCOサーバ攻撃のXデーは2月1日

Robert Lemos(CNET News.com)2004年01月27日 09時53分

 ウイルス対策ベンダー各社によると、米国時間26日からインターネット上で急速に広まっている大量メール送信ウイルスは、ユーザーのPCに感染後、2月1日にSCO Groupのウェブサーバに向けて、一斉に大量のデータを送りつけるDoS攻撃を狙ったものだという。

 このウイルスは、ウイルス対策ベンダーによって「MyDoom」、「Novarg」、またはMimailの変種などと呼ばれているもので、「Mail Delivery System」「Test」「Mail Transaction Failed」など、いくつかある件名の1つが付いた形で受信箱に入ってくる。この電子メールには「The message contains Unicode characters and has been sent as a binary attachment」(「本文にUnicodeが含まれているためバイナリ形式で添付されています」)などの文とともに、実行ファイルが添付されている。

 セキュリティソフトウェアメーカーのNetwork Associatesでアンチウイルス緊急対策チームを担当するバイスプレジデントのVincent Gullottoは、「このウイルスは大規模に発生している。我々はこれを危険度の高いウイルスに分類している」と語った。

 Gullottoによると、Network Associates自身も、ウイルスに感染した電子メールを3400カ所の異なるアドレスから1時間で1万9500通受信したという。ある大手通信会社では既に、このウイルスを阻止するために自社の電子メールゲートウェイをシャットダウンしてしまった。

 このウイルスは、ユーザーのPCに感染すると、攻撃者がリモートからコントロールできるようにするプログラムをインストールする。このプログラムは、2月1日にSCO Groupのウェブサーバに向けてデータ送信を開始するよう、PCをセットすると、あるウイルス研究者が匿名を条件に明らかにした。

 SCO Groupは、Linuxコミュニティから怒りをかっている。Linuxの重要な部分が、同社の持つUnixの著作権でカバーされており、故にLinuxは著作権侵害にあたると主張しているためだ。これに対し、IBM、NovellをはじめとするLinux支持者は強い異議を唱えている。

 SCOの技術者は、DoS攻撃が始まったかどうかに関して、すぐには確認できなかった。太平洋標準時の午後4時までに、同社のウェブサイトは反応速度が低下したと、SCOの広報担当は認めたが、しかしまだウェブからアクセスできると述べている。

 SCOのウェブサイトは、昨年何度かDoS攻撃を受け、ネットから切り離されたことがあった。同社では、少なくともそのうちの1つについて、Linuxシンパの攻撃として、これを非難していた。

 このウイルスは、26日の太平洋標準時午後1時ごろに感染を始め、ウイルス対策ベンダー各社は急遽情報収集に乗り出した。

 アンチウイルスソフトウェアメーカーのSymantecでセキュリティ対策センターのシニアディレクターを務めるSharon Ruckmanは、「情報の大半が暗号化されているため、その暗号の解読が必要だ」と語った。Ruckmanによると、Symantecにはウイルス発生後最初の1時間で約40件の報告があったが、これはかなり多いという。

 このウイルスは、システムに「バックドア」を開けるプログラムをインストールする。攻撃者はこのバックドアを使って、追加のプログラムを感染したPCにアップロードする。このバックドアはまた、侵入者が攻撃の発生源を隠すために、感染したコンピュータ経由で標的とするサーバに接続することも可能にする。

 このウイルスはまた、PC上のKazaaのダウンロードファイルを保存するディレクトリ(フォルダ)に自身をコピーする。そして、Winamp5、RootkitXP、Officecrack、Nuke2004など7つのファイル名のいずれかを使って、身元がわからないように偽装する。メール本文に書かれたテキストの例としては、「The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment」(「この文章は7ビットのASCIIエンコーディングでは表示できませんので、バイナリ形式で添付されています」)などがある。

 初期のデータから判断すると、このMyDoomウイルスは昨年夏に大規模な広がりをみせたSobig.Fウイルスの数倍の規模になる可能性があると、電子メールサービスプロバイダ、Postiniのエンジニアリング担当バイスプレジデントのScott Petryは語った。

 「いまの割合でいくと、1日に約800万台に感染しそうだ」(Petry)。同社では、Sobig.Fの際には最初の1日に検知した数は1400件でしかなく、またピーク時にも24時間で350万件を隔離しただけだった。

 なお、電子メールから実行ファイルを削除するメールシステムは、このプログラムの感染を阻止することができる。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]