2005年10月に,マイクロソフトとTelecom-ISAC Japanが協力して,Antinnyワームの駆除に関する調査を行いました。マイクロソフトが「悪意のあるツールの削除プログラム」の削除対象にAntinnyを追加したところ,11万台のパソコンからAntinnyを削除できました。その結果,Antinnyによるトラフィックが4割減ったので,Antinnyに感染しているパソコンの台数が28万台だと分かりました。
しかし,当時のWinnyユーザーは50万台あったといいます。つまり,Winnyユーザーの半数がAntinnyに感染していたわけです。われわれとしては,この状況を見過ごすわけにはいきません。そこで今回,「Winnybot」という著作権管理団体などに提供しているWinnyネットワークの解析ツールを使用して,その実態を調査したのです。
Winnyネットワークにおける実行ファイルの分布状況
詳細を説明しましょう。調査をしたのは,2007年2月16日の21~22時までの1時間です(図6)。われわれはWinnybotを使って,インターネットに分布しているWinnyの「キー情報」を調査しました(キー情報とは,Winnyネットワークにおけるファイルの所在などを示す情報)。その数は120万個になりました。
 |
| 図6●Winnybotによるキー情報の検索 [画像のクリックで拡大表示] |
それは,Winnyネットワークで120万個のファイルが共有されているという意味ですか?
そうではありません。われわれが1時間で収集できた数が120万個だったということです。Winnyネットワークで共有されているファイルの総数は数千万に及ぶといわれています。もっと長い時間をかけて調査すれば,さらに多くのキー情報を集められたでしょう。
キー情報には,ファイル名だけでなく,IPアドレスや通信するポート番号,ファイルのハッシュ値なども含まれています。120万個の中からファイル拡張子が「exe」であるものを調べたところ,3254個になりました。ただしキー情報が異なっても,ファイルは同じということもあります。情報の重複を削除して,実際に共有されているexeファイル(実行ファイル)の数を調べると,2347個になりました。
次に,この2347個のファイル・サイズの分布を調べました(図7)。これで,ほとんどの実行ファイルが,5Mバイト以下のサイズであることが分かりました。そこで,ファイル・サイズが小さい方から1000件,実際に実行ファイルをダウンロードしてみたところ,144個のノードから,352個のファイルがダウンロードできました。
 |
| 図7●実行ファイルのファイル・サイズ分布 [画像のクリックで拡大表示] |
実行ファイルのほとんどはウイルス
ここに,興味深いデータがあります。352個の実行ファイルをウイルス対策ソフトでスキャンしてみたのですが,そのうちの63%(221個)が,ウイルスであると検出されました(図8)。つまり,352個の実行ファイルの大半がウイルスだったわけです。
 |
| 図8●実行ファイルの過半がウイルスだった [画像のクリックで拡大表示] |
