FAQ：「Conficker」ワームによる4月1日攻撃の可能性--その実態と対策 - (page 2)

　ConfickerのターゲットとなったドメインにはSouthwest Airlinesのドメインが含まれており、3月13日にボットネットからのトラフィックが増加するとみられていた。しかしSouthwest Airlinesのスポークスマンによると、同社サイトではこのワームによる影響はなかったという。

--Confickerはどこから発生したのか。

　Ferguson氏によると、Confickerに使用されているコードや手法の一部は、Russian Business Networkとして知られる地下組織とウクライナの共犯者が作成した以前のボットネットワームに使われたものに似ているという。しかし推測はされているものの、研究者たちも誰が関与しているか、確実なことは分かっていないと同氏は言う。

　SymantecのTurner氏は、「これがある点において、詐欺アフィリエイトネットワークや悪質なアプリケーションの配布に結びついていた可能性を示す、いくつかの証拠がある」と述べている。

--ほかのインターネットワームとの違いは何か。

　Confickerはイタレーションごとにますます巧妙になっており、おそらくConfickerを阻止しようとする研究者の試みに応じて、生存期間を延ばすように設計された機能を持つ。研究者がコード内でターゲットとされたドメインの事前登録を始めた後に、Conficker.Cの作成者は、アルゴリズムによって生成される、可能性のあるドメイン数を、わずか250ではなく5万にすることで、要求水準を引き上げ、このワームに対抗しようとする取り組みに対し巨大なバリケートを築いた。さらに作成者は高度な暗号を利用して、この5万ドメインのうち実際に4月1日にコンタクトされる無作為の500ドメインを記した命令を分かりづらくしている。

　また作成者は、正規の所有者が既に利用しているドメインをターゲットにすることにより、ドメインの衝突を起こそうとしているようだとFerguson氏は言う。

　「Confickerの作成者らは、われわれが彼らに対抗するためにできることを妨害して、付帯的な損害を引き起こそうとしている。彼らがやろうとしているのは、脅威を軽減しようとするあらゆる努力を踏み付けにすることだ」（Ferguson氏）

　Ferguson氏によれば、ドメインのランダム化、インターノード通信、強力な暗号の使用など、いくつかの戦術は新しいものだという。

　「われわれがこれまでに出会った中で、おそらく最も複雑で高度なボットネット戦術を利用している。非常に専門的に構成された設計、開発だ」（Ferguson氏）

　Turner氏はさらに、Sasserワームが出現した「2004年ごろ以来、1つのワームが広範囲に拡散したのは初めてだ」と付け加えた。Sasserワームはおよそ50万台のコンピュータに感染したと考えられている。