MyDoomの新亜種、急速に感染拡大--余波でグーグルなどが利用不能に

David Becker, Michael Kanellos (CNET News.com)2004年07月27日 09時24分
  • このエントリーをはてなブックマークに追加

 米国時間26日、MyDoomワームの厄介な新亜種が出現したが、このワームは人気の4つの検索エンジンに攻撃を仕掛け、世界中のメールアカウントを目詰まりさせ続けている。

 MyDoom.MもしくはMyDoom.Oと名付けられたこの新亜種は、26日早朝に初めて発見され、その後急速に猛威を振るい、何百通ものメールを送りつけて多数のメールボックスを溢れさせている。また、このワームがパソコンに感染後、Google、Yahoo、AltaVista、Lycosの検索エンジンを使って自動的にウェブ検索を行なったことから、これら4サイトの反応速度が鈍くなり、ほとんど利用できなくなるという被害が出た。

 電子メールスクリーニング会社のMessageLabsは、この亜種の出現後最初の5時間で、同亜種のコピーを2万3000件以上遮断したと発表。また、ウイルス対策ソフトメーカーMcAfeeのウイルス追跡チーム、McAfee Avertでは、このワームの脅威について、高リスク評価より1段階下の「中(要警戒)」と評価している。このワームは西海岸時間午前6時前に発見されたばかりだが、すでに何万台ものPCに感染を拡大している。しかし、このワームによる最大の影響を被ったのは各検索サイトだ。

 Google、Lycos、Altavistaの各検索サイトは、26日午前の間中、散発的にアクセス不能状態に陥っている。また、Yahooもアクセスしにくい状況だ。これは同ワームの感染拡大によるものだとMcAfeeのウイルス研究者、Craig Schmugarは述べている。このワームはPCに感染すると、そのコンピュータのハードディスク内にあるメールアドレスを検索し、またその後先の4つの検索サイトで検索を行い、さらにメールアドレスを探すという。

 「これはいわば、偶然の(DoS)攻撃だ」とSchmugarは述べ、各検索サイトがメールアドレスを探す大量の検索要求を受けて、ほとんど使えなくなっていることに言及した。従来のMyDoom亜種はホストコンピュータのハードディスク内だけのメールアドレスを検索していたが、今回の亜種はこの点が異なっている。

 セキュリティ会社Symantecのセキュリティ対応センターでシニアディレクターを務めるVincent Weaferによると、このワームは検索サイトを利用し、感染したPCで使われているメインのメールアドレスと同じドメイン名の公開メールアドレスを検索するという。つまり、たとえばある人のPCが感染し、その人のメインのメールアドレスが「@mycompany.com」という文字列で終わるとすると、このワームは主に他のmycompany.comアドレスに感染を拡大しようとする。

 このテクニックにはこれまで見られなかった利点がいくつかある、とWeaferは指摘する。特に重要なのは、感染したメッセージが同僚から届いたメッセージのように見えるという心理的メリットだ。「自分の会社の誰かから送られたメッセージだと思わせるテクニックは、非常に巧妙だ」(Weafer)

 感染範囲を社内に限定していることも、技術的な利点となっているとWeaferはいう。「他のウイルスでの経験から、ローカルネットワーク内で感染を拡大するほうが急速に広まることが分かっている」(Weafer)

  • このエントリーをはてなブックマークに追加