複数のウイルス対策企業は、「Sober」ワームが製作者との「通信」に利用しているアルゴリズムを解析したと発表した。
2005年11月、Soberワームの最新亜種は、自身を連邦捜査局(FBI)や中央情報局(CIA)からの電子メールであるかのように偽装し、ユーザーをだましてコードを実行させ、大混乱を巻き起こした。ウイルス対策企業は当初から、同ワームが自身をウェブ経由でアップデートする方法を知るための、何らかの手段が存在することに気付いていた。ワームの製作者は、感染マシンをコントロールしたり、必要に応じてワームの行動パターンを変更したりする目的で、この機能をプログラムしていた。
フィンランドのウイルス対策企業F-Secureは米国時間8日、同ワームが利用するアルゴリズムを解析し、特定の日にワームが確認するサイトの正確なURLを算出できるようになったと述べた。
F-SecureのチーフリサーチオフィサーMikko Hypponenは、当局が特定のURLを簡単にアクセス不能にできることから、ウイルス作者は常に同じURLを利用することはしていなかったと説明している。
「Soberは、乱数を使ってURLを生成するアルゴリズムを利用している。こうしたURLは日ごとに生成されるが、それらのうちの99%は存在しない。(中略)だが、ウイルス作者は任意の日に用いるURLをあらかじめ算出しておくことができ、全感染マシン上で何かを実行しようと考えたときに適切なURLを登録して、プログラムをアップロードする。その結果、攻撃が起こるわけだ。このワームは、世界中の大量のマシンで動作している」と、Hypponenは自身のブログに記している。
F-Secureの調査によれば、2006年1月5日、Soberワームの最新亜種に感染したすべてのコンピュータは、アップデートファイルを確認するため以下のドメインを閲覧するという。
http://people.freenet.de/gixcihnm/
http://scifi.pages.at/agzytvfbybn/
http://home.pages.at/bdalczxpctcb/
http://free.pages.at/ftvuefbumebug/
http://home.arcor.de/ijdsqkkxuwp/
Hypponenは、これらのURLへのアクセスをブロックして、感染PCのワームが自動的にアップグレードされないよう備えることを管理者らに勧めている。
一方、Trend MicroのプレミアムサービスマネージャーAdam Bivianoは、当該のURLをブロックすることも有益だが、PCの安全性を確保するのが先決だと述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス