暴露ウイルスがWindowsの持つ個人情報を流出ファイルに添付するからです。
Winnyのネットワークでは,非常に多くのウイルスが出回っています。そのほとんどがAntinny(アンチニー)と呼ばれるタイプのものです。ここではその中から,情報漏えいに関係する「Antinny.G」のしくみを確認していきましょう。
Antinny.Gは,例えば「機密情報.exe」といった名前のファイルとしてWinnyネットワーク上を流通しています。ただし,見た目は実行ファイルではなく,フォルダなどのアイコンに偽装しています。Windowsの初期設定のままだと「.exe」という拡張子も見えません。
ユーザーがこのファイルを機密情報が入ったフォルダだと勘違いしてダウンロードして開いてしまう(実行してしまう)と,Antinny.Gに感染します(図の1)。
Antinny.Gは,起動すると解凍エラーを伝えるためのダイアログを表示します(2)。同時に,ファイル名と同名の空のフォルダを作ります。これにより,さも解凍に失敗したかのように見せかけるわけです。しかし,その裏ではAntinny.Gが着々と作業を進めています。
Antinny.Gは,Winnyプログラム本体であるWinny.exeが保存されている場所を探し,ファイルを外部に公開するためのアップロード・フォルダを作って自分自身をコピーします(3と4)。また,デスクトップ画面のスクリーン・ショットを撮ったり,Windowsの登録ユーザー情報を取得したりして,これらをまとめて圧縮ファイルにし,アップロード・フォルダに入れます(5)。
つまり,Antinny.Gはそのパソコンの利用者の情報を外部に漏らそうとするわけです。パソコン内には利用者の名前や住所,メール・アドレスといった個人を特定できる情報が保存されていることが多く,こうした情報によって流出したファイルの持ち主が特定できるわけです。
なお,Antinny.GはWindowsのレジストリ・データベースの書き換えなどで,Windowsが起動するたびにAntinny.Gを自動起動するように仕向けたりもします(6と7)。
このようなしくみにより,感染したユーザーがWinnyを起動すると,Antinny.Gによってこっそり作られたアップロード・フォルダを介して,これまたこっそり置かれた個人情報入りのファイルが漏えいするわけです(8)。
本記事は,日経NETWORK2006年5月号特集1『徹底解明 Winny&暴露ウイルス』に掲載した内容の一部をITpro向けに編集したものです