logo

FAQ:「Conficker」ワームによる4月1日攻撃の可能性--その実態と対策

文:Elinor Mills(CNET News.com) 翻訳校正:川村インターナショナル2009年03月31日 07時30分
  • このエントリーをはてなブックマークに追加

 「Conficker」ワームの最新の亜種が、4月1日にインターネット上のほかのコンピュータと通信を開始するよう設定されているということについて、大きな騒ぎが起こっている。まるで、謎めいたペイロードを持つ、エイプリルフールの時限爆弾のようだ。

 だがセキュリティ研究者たちは、おそらく実際は、いわゆるY2K問題について多くの極端な予想が出回った後、世界中のコンピュータの時計が2000年1月1日に変わったときに起きたことと同じような結果になるとしている。つまり、大したことは起こらない。

 Symantec Security Responseのグローバルインテリジェンスネットワーク担当ディレクターであるDean Turner氏は米国時間3月25日、「何らかの大規模なサイバー事件が4月1日に発生するというわけではない」と述べた。

 Confickerの背後にいる人物らが興味を持っているのは、感染したコンピュータのみで構成されるボットネットを利用し、スパムやそのほかのマルウェアを配布して金銭を得ることだろう、と専門家は推測している。そのためには、作業を続けるためのコンピュータとネットワークが必要になることが考えられる。

 トレンドマイクロのアドバンストスレットリサーチャーPaul Ferguson氏は、次のように述べている。「こうした犯罪者の大半は、このボットネットを利用してまだ何かを行っていないとしても、金もうけが目的だ。インフラストラクチャを壊したいとは考えていない。詐欺行為を続けられなくなってしまうからだ」

 この記事では、Confickerに関する混乱をいくつか解消するために、人々に共通すると思われる疑問に対する回答をまとめた。

--Confickerとは何か。どのように動作するのか。

 Confickerは2008年11月に発生したワームであり、「Kido」や「Downadup」の別名でも知られている。Confickerは「Windows」の脆弱性を悪用する。Microsoftはこの脆弱性に対処する修正パッチを10月に公開ずみだ。

 2009年2月に発見された「Conficker.B」には、ネットワーク共有や、WindowsのAutorun(自動実行)機能を利用してUSBドライブなどリムーバブルストレージデバイスを介して拡散する能力が加わった。

 3月に現れた「Conficker.C」は、セキュリティサービスをシャットダウンし、コンピュータがセキュリティウェブサイトに接続するのを阻止して、トロイの木馬をダウンロードする。また、ピア・ツー・ピア(PtoP)ネットワーク経由で感染したほかのコンピュータに接続する上、5万件のドメインのリストが含まれている。このうちの500ドメインに対し、感染したコンピュータが4月1日にコンタクトし、更新されたコピーやほかのマルウェアもしくは命令を受け取るとされている。Confickerの以前の亜種は1日当たり250ドメインに接続するように作成されていた。

-PR-企画特集