Microsoft MSN MessengerとAmerica Online(AOL)のInstant Messengerのユーザーをターゲットとした悪質なメッセージが出回っている。このメッセージには、トロイの木馬や危険なワームへの感染を目的としたリンクが含まれている。
トロイの木馬「Kirvo」への感染はまず、インスタントメッセージ(IM)ユーザーのもとに、「友達」リストに載っている他のユーザーから送信されたものに見せかけたメッセージが届くところから始まる。セキュリティ対策企業Symantecによると、このメッセージには、あるウェブサイトへのリンクが記載されており、それをクリックするとKirvoのコピーがPCにロードされるという。Kirvoは起動後に、Spybotのコピーを取得するようにあらかじめプログラムされている。Spybotは、ソフトウェアの脆弱性を悪用することでユーザー動作を密かに調べる、危険なワームである。
Symantecでアジア太平洋地域および日本を担当するシステムエンジニアディレクターのTim Hartmanによると、Kirvoは、Spybotのほか、ゾンビPCネットワークを使って、感染の標的とするマシンを探し出すという。
「(Kirvoの)動作は、ユーザーに依存している。誘惑にかられたユーザーがリンクをクリックすることで、Kirvoは起動する」とHartmanは述べる。「Kirvoは、起動後、Spybotの亜種をダウンロードする。脆弱性を悪用するSpybotこそ、本物のワームだ。Kirvoの開発目的は、Spybotの拡散を支援し、Spybotに感染したゾンビPCのネットワークをインターネット上で拡大させることにあるようだ」(Hartman)
米国時間21日現在、MicrosoftとAOLからのコメントは得られていない。
ウイルス対策企業McAfeeのマーケティングディレクターAlan Bellによると、KirvoやSpybotに関与する人物は、ワームのコピーを散布するのに、感染PCやリダイレクトサービスを利用するため、警察当局による捜査は難航しているという。
「IPアドレスが頻繁に変わるネットワークを利用している場合--ダイアルアップ接続や、一部のブロードバンド接続など--IPアドレスをトラッキングするサービスを利用することが可能だ」とBellは述べる。「これを利用すると、IPアドレスが変わるたびに、そのアドレス宛のリクエストがリダイレクトされるようになる。捜査当局が元のIPアドレスを追跡しても、ゾンビ化したコンピュータを所有する会社に行き着くだけだろう」(Bell)
Bellによると、Spybotは、インターネット上で最も広まっているワームの1つだという。また、McAfeeが実施した最近の調査によると、ボットによる活動は、2005年第1四半期から第2四半期にかけて300%以上も増加したとBellは述べた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果