2006年1月5日の攻撃は防げるか--ウイルス対策企業が「Sober」のアルゴリズムを解析

Munir Kotadia (ZDNet Australia)2005年12月12日 12時05分
  • このエントリーをはてなブックマークに追加

 複数のウイルス対策企業は、「Sober」ワームが製作者との「通信」に利用しているアルゴリズムを解析したと発表した。

 2005年11月、Soberワームの最新亜種は、自身を連邦捜査局(FBI)や中央情報局(CIA)からの電子メールであるかのように偽装し、ユーザーをだましてコードを実行させ、大混乱を巻き起こした。ウイルス対策企業は当初から、同ワームが自身をウェブ経由でアップデートする方法を知るための、何らかの手段が存在することに気付いていた。ワームの製作者は、感染マシンをコントロールしたり、必要に応じてワームの行動パターンを変更したりする目的で、この機能をプログラムしていた。

 フィンランドのウイルス対策企業F-Secureは米国時間8日、同ワームが利用するアルゴリズムを解析し、特定の日にワームが確認するサイトの正確なURLを算出できるようになったと述べた。

 F-SecureのチーフリサーチオフィサーMikko Hypponenは、当局が特定のURLを簡単にアクセス不能にできることから、ウイルス作者は常に同じURLを利用することはしていなかったと説明している。

 「Soberは、乱数を使ってURLを生成するアルゴリズムを利用している。こうしたURLは日ごとに生成されるが、それらのうちの99%は存在しない。(中略)だが、ウイルス作者は任意の日に用いるURLをあらかじめ算出しておくことができ、全感染マシン上で何かを実行しようと考えたときに適切なURLを登録して、プログラムをアップロードする。その結果、攻撃が起こるわけだ。このワームは、世界中の大量のマシンで動作している」と、Hypponenは自身のブログに記している。

 F-Secureの調査によれば、2006年1月5日、Soberワームの最新亜種に感染したすべてのコンピュータは、アップデートファイルを確認するため以下のドメインを閲覧するという。

http://people.freenet.de/gixcihnm/
http://scifi.pages.at/agzytvfbybn/
http://home.pages.at/bdalczxpctcb/
http://free.pages.at/ftvuefbumebug/
http://home.arcor.de/ijdsqkkxuwp/

 Hypponenは、これらのURLへのアクセスをブロックして、感染PCのワームが自動的にアップグレードされないよう備えることを管理者らに勧めている。

 一方、Trend MicroのプレミアムサービスマネージャーAdam Bivianoは、当該のURLをブロックすることも有益だが、PCの安全性を確保するのが先決だと述べている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加