Spybotワームの亜種が出現--Windowsやシマンテック製品の脆弱性を突く

　悪質なボットプログラムの進化した亜種が、Microsoft製品における複数のセキュリティホールだけではなく、Symantecのアンチウイルス製品の脆弱性を利用して広がっている。

　米国時間11月28日付けのSymantecのブログによれば、同社が「Spybot.ACYR」、McAfeeが「Sdbot.worm!811a7027」と呼んでいるこのプログラムは教育機関を攻撃の対象としているようだという。Symantecは「このプログラムの活動によるポート2967へのトラフィックの急増は、.eduドメインでのみ確認されている」と述べ、「従って、この攻撃の影響はこれまで最小限に留まっている」と付け加えている。

　このプログラムはSpybotワームの亜種。6カ月前に発見されたSymantec Client SecurityとSymantec AntiVirusの脆弱性を利用してコンピュータに侵入を試みる。この脆弱性に対応するためのパッチは5月25日に公開されている。Symantecは「このパッチを適用した顧客は、こういったワームの影響を受けない」と述べている。

　さらに、このボットプログラムはMicrosoft Windowsに存在する5つの脆弱性を悪用しようとする。こういった脆弱性のうち、最も新しいものは8月にパッチがリリースされたものであり、Windowsのファイルとプリンターの共有に影響を及ぼすものである。Symantecの警告によれば、Windowsにおけるこれら5つの脆弱性のうち、最も古いものは2004年にさかのぼるものだという。

　このボットプログラムはPCにインストールされるとシステムにバックドアを仕掛け、Internet Relay Chat（IRC）サーバに接続することによって、乗っ取ったコンピュータを攻撃者が遠隔地から自由にコントロールできるようにする。Spybotワームが登場したのは2003年のことであり、それ以来多くの亜種が生み出されてきている。

　Microsoftの最新のセキュリティレポートによれば、今回のようなボットソフトウェアは、Windows PCに対する脅威としては現在最もまん延しているものだという。また同社によれば、ボットソフトウェアの亜種は2006年前半だけで4万3000種以上が発見されており、悪質なソフトウェアのなかで最も活発な動きを見せているカテゴリだという。

　ボットソフトウェアに乗っ取られたコンピュータは、一般的に「ゾンビPC」と呼ばれている。攻撃者はこういったPCをボットのネットワーク、すなわち「ボットネット」の一部として利用することで、スパムを中継したり、サイバー攻撃を仕掛けることができる。さらにハッカーはしばしば、被害者のデータを盗んだり、スパイウェアやアドウェアをPCにインストールしたりすることでそれらのメーカーから金銭を得ている。