ソースコード探しに火をつけた、NetSkyの新亜種登場

Munir Kotadia (ZDNet UK)2004年03月15日 09時39分
  • このエントリーをはてなブックマークに追加

 NetSkyは今年最も大きな被害をもたらしているメールワームの1つだが、その作者がインターネット上で同ワームのソースコードを配布しているのではないかと、セキュリティ専門家らは疑っている。

 9日(米国時間)に見つかったNetSkyの11番目の亜種(NetSky.K)には、「今後新たに亜種を出すことはない」との作者のメッセージが含まれていた。しかしそのなかには、NetSkyのソースコードを公開するとも記されていたため、多くの人間が独自にNetSkyの亜種をつくれる可能性が浮上していた。その後実際に、NetSky.LおよびNetSky.Mという2つの新しい亜種が発見されているが、セキュリティ研究者らは、これらの亜種には別の作者によって書かれた形跡があると述べている。

 F-Secureのウイルス対策研究ディレクター、Mikko Hypponenは、最新の亜種は別の人物によって書かれたもののようだが、コードが配布されていた証拠はまだ見つかっていないと語った。「ソースコードが通常見かけそうな場所では全く見つかってない。しかし我々は、現在もアンダーグラウンドの情報提供者らと話を続けている」(Hypponen)

 一方Sophosのシニア・テクノロジーコンサルタント、Graham Cluleyは、NetSkyのソースコードがインターネット上で公開されたことについては確認できていないが、それが小さなメーリングリストに送られた疑いがあると述べた。

 「ソースコードが公開されたという証拠はない。しかし、NetSky.LやNetSky.Mがオリジナルのソースコードをある程度再利用したもののように見えることから、それがごく少数の人間にだけ公開されたのかもしれないと、我々は考えている」(Cluley)

 NetSkyワームの亜種のうち、9日までに登場した全てのものには、MyDoomやBagleワームの作者を罵倒するメッセージが含まれていた。しかしNetSky.LとNetSky.Mには、こうした罵言は含まれていない。

 「最新の亜種には、子供じみた悪ふざけの多くが含まれていないことから、我々は同じ人物が書いたのではないと考えている。対Bagle攻撃もない、そして最も重要なのは他の全ての亜種に見られるSkyNetへの言及がないことだ」とCluley。なお「SkyNet」は作者が名付けたこのプログラムの名前だが、このプログラムは一般には「NetSky」と呼ばれている。

 しかしHypponenは、NetSkyの作者がいまだに亜種を作り続けながら、他人にはそう思われたくないためにワームの書き方を変えたという可能性を指摘している。「オリジナルの作者が新しい亜種をリリースしながら、しかし自分の仕業ではないように見せかけているか、もしくは同作者が少数の人間にソースコードを配布し、それを受け取った誰かが亜種を書いたかのどちらかだろう。私は後者の可能性が強いと考えている」(Hypponen)

 たとえソースコードが配布されたとしても、それで一気にNetSkyワームが大発生する事態にはならないだろうとCluleyは考えている。「ソースコードが出回ったからといって、オリジナルのNetSkyほどのインパクトを持つ新たな亜種が、大量に発生するとは必ずしもいえない。すでにネット上にソースコードが出回っているウイルスは他にもたくさんあるが、それらが全て大流行しているわけではない。また、NetSky.LとNetSky.Mは、オリジナルの作者のものと比べて、配布の仕組みが巧妙ではなく、そのためこれまでのものよりも感染の範囲が限られている」(Cluley)

 だが、いったんソースコードが公開されれば、それが悪質なソフトウェア作者のコミュニティで大人気を博すことは間違いないと、Hypponenは認めている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。

  • このエントリーをはてなブックマークに追加