当社(エフセキュア)の計測では,ブラスター型ウイルス「Downadup」の感染が急拡大している(関連記事:Windowsの脆弱性悪用ウイルスに350万台以上が感染、国内でも被害多数/ブラスター型ウイルスが企業LANで猛威,5日間で200件近くの被害報告/「USBウイルス」の新手口,設定ファイルをダミーのデータで偽装)。推定したところ,感染したパソコンの台数は2009年1月第3週の4日間で240万台から890万台に膨れあがった。まさに驚異的な数字だ。
我々がどのように感染台数を推定しているのか,多くの質問を受けた。
インターネットの管理者,米国のセキュリティ調査機関CERT,ウイルス対策研究者なども関心を寄せている。
当社のブログに設けたコメント欄にも,この数字を疑問視する声が投稿された。以下にその例を引用する。
Kitschen:お見事だ。正確にマシン10台が感染したと「推定」できるならの話だが。これはエフセキュアのPRにすぎない。エフセキュアの「特別な技術」では,10万台を推定するのが関の山だろう。
wastedimage:今回の数字は推測の域を出ていない。10万個に満たないIPアドレスを,どうやって240万台の感染に結び付けたのか。IPアドレスの「一部」がNAT(Netowrk Address Translation)デバイスのものであることは分かるが,台数は不明だ。IPアドレス1個がいったい何台のパソコンと結び付いているというのだ。エフセキュアが都合よく決めたのではないのか。このようなFUD(Fear,Uncertainty and Doubt:不確かな根拠に基づく脅し)行為は,極めてプロ意識に欠ける。
wastedimage:ボットの持っているカウンタは,スパム・メール送信者により多くの利用料金を支払ってもらおうと不正に操作され,過大な件数を示す可能性がある。そのようなカウンタを信用するというのか。まるで絵に描いた餅だ。
ここで,我々がどのように件数を算出しているのかを説明したい。
Downadupはいくつかの亜種が出回っている。ドメイン名を生成するアルゴリズムは,亜種によって少しずつ異なる。最も一般的と思われる亜種の活動を追跡したところ,毎日250個の有効なドメインを作成していた。この中から特定のドメインを登録し,当該ドメインに対する接続状況を監視した。
こうして得られた接続状況を以下に示す。
見て分かる通り,これはごく普通のhttpデーモンのログであり,我々のドメインに接続してきたマシンのIPアドレス,タイム・スタンプ(当該画面のクエリーはすべて2009年1月15日18時16分5秒という同一時刻),実際のクエリー(「GET /search?q=29 HTTP/1.0」),およびマシンのユーザー・エージェントが記載されている。
怪しいアクセスを収集する当社のシンクホール・システムには,毎日何百万という未処理の接続が発生する。これらの接続を要求元で分類すると,重複なしで毎日何十万もIPアドレスが得られる(1月16日は35万強あった)。
NATデバイスやプロキシはこの作業の邪魔になるし,Downadupは我々が確認できるようなユニークな識別子をユーザー・エージェントに入れないため,実際の感染数を把握することは困難だ。
我々はまず,IPアドレスごとにユーザー・エージェントのヘッダー数を重複しないよう数えようとしたが,きちんと社内ルールに則っている企業ネットワークは大半のマシンが同じユーザー・エージェントを使っているため,結果はあまり当てにならない。
このため,さらに詳細を探ったところ,/search/q=NUMBERクエリーの「NUMBER」部分がランダムでないことに気付いた。これはマルウエア・コード内のグローバル変数であり,マルウエアが「MS08-067」のぜい弱性を突いて感染に成功する都度加算している(スレッドの独立性をInterlockedIncrementで確保する)。この加算は,マルウェアのhttpデーモン・スレッドで,マシンへの感染が成功した後に行われる。
したがって,この数値は,マシン再起動後に何台ほかのマシンに感染できたかを示す。上記ログを見れば,あるマシンから別の116台に感染したことが分かる。
注意してほしいのが,この数はあくまでもMS08-067経由で感染したマシンの台数だ。Downadupは,ネットワーク共有やUSBメモリー経由でもまん延している。
我々は,ログを解析してIPアドレス/ユーザー・エージェントのペアごとに「q」の最大値を抽出するプログラムを作成した。その後,これらをまとめて感染数を導き出した。既にお分かりの通り,非常に地味な方法だ。
こうした解析の結果,現在までに800万台を超えるマシンの感染が明らかとなっている。
Downadupによる感染状況は改善しておらず,悪化する一方だ。
Copyrights (C) 2009 F-Secure Corporation. All rights reserved.
◆この記事は,エフ・セキュアの許可を得て,フィンランドのセキュリティ・ラボの研究員が執筆するブログWeblog:News from the Labの記事を抜粋して日本語化したものです。本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。オリジナルの記事は,「Calculating the Size of the Downadup Outbreak」でお読みいただけます。
