2006年1月5日の攻撃は防げるか--ウイルス対策企業が「Sober」のアルゴリズムを解析

　複数のウイルス対策企業は、「Sober」ワームが製作者との「通信」に利用しているアルゴリズムを解析したと発表した。

　2005年11月、Soberワームの最新亜種は、自身を連邦捜査局（FBI）や中央情報局（CIA）からの電子メールであるかのように偽装し、ユーザーをだましてコードを実行させ、大混乱を巻き起こした。ウイルス対策企業は当初から、同ワームが自身をウェブ経由でアップデートする方法を知るための、何らかの手段が存在することに気付いていた。ワームの製作者は、感染マシンをコントロールしたり、必要に応じてワームの行動パターンを変更したりする目的で、この機能をプログラムしていた。

　フィンランドのウイルス対策企業F-Secureは米国時間8日、同ワームが利用するアルゴリズムを解析し、特定の日にワームが確認するサイトの正確なURLを算出できるようになったと述べた。

　F-SecureのチーフリサーチオフィサーMikko Hypponenは、当局が特定のURLを簡単にアクセス不能にできることから、ウイルス作者は常に同じURLを利用することはしていなかったと説明している。

　「Soberは、乱数を使ってURLを生成するアルゴリズムを利用している。こうしたURLは日ごとに生成されるが、それらのうちの99％は存在しない。（中略）だが、ウイルス作者は任意の日に用いるURLをあらかじめ算出しておくことができ、全感染マシン上で何かを実行しようと考えたときに適切なURLを登録して、プログラムをアップロードする。その結果、攻撃が起こるわけだ。このワームは、世界中の大量のマシンで動作している」と、Hypponenは自身のブログに記している。

　F-Secureの調査によれば、2006年1月5日、Soberワームの最新亜種に感染したすべてのコンピュータは、アップデートファイルを確認するため以下のドメインを閲覧するという。

http://people.freenet.de/gixcihnm/
http://scifi.pages.at/agzytvfbybn/
http://home.pages.at/bdalczxpctcb/
http://free.pages.at/ftvuefbumebug/
http://home.arcor.de/ijdsqkkxuwp/

　Hypponenは、これらのURLへのアクセスをブロックして、感染PCのワームが自動的にアップグレードされないよう備えることを管理者らに勧めている。

　一方、Trend MicroのプレミアムサービスマネージャーAdam Bivianoは、当該のURLをブロックすることも有益だが、PCの安全性を確保するのが先決だと述べている。