「複合型ウイルス」とは,感染手段を複数持つウイルス(悪意のあるソフトウエア),もしくは複数のウイルスを組み合わせて作ったウイルスのこと(図1)。強い感染力を持つのが特徴である。代表例が,2008年後半から猛威を振るっている「Downadup」だ。「DOWNAD」や「Conficker」と呼ぶこともある。
Downadupは元々,WindowsのUPnP(universal plug and play)機能のセキュリティ・ホールに対して,パケットを送り付ける攻撃を仕掛けるウイルスだった。このぜい弱性は2008年10月に見つかり,数日後に米マイクロソフトがそれを解消するセキュリティ・パッチを公開した。
しかしDownadupは,パッチが公開されてから1カ月以上が経過した2008年11月下旬にはやり出した。企業ユーザーの多くは,パッチが公開されても,まずそのパッチが業務用ソフトウエアなどに支障が出ないかを確かめてから適用するため,その適用までの無防備の間に広まったというのが理由だ。事実,Downadupの感染被害は,個人ユーザーに少なく,ほとんどが企業ユーザーだった。
パッチの適用が進むにつれ,被害は収束すると思われた。しかし,今度はDownadupの亜種が登場してきた。亜種とは,あるウイルスをベースにした別のウイルスを指す。
Downadupの亜種は,同じネットワーク内にある別のコンピュータに対してパスワード辞書攻撃を仕掛ける。さらに,2008年のウイルス被害件数でトップに立った「USBウイルス」としても稼働する。このようにDownadupは,亜種として複合型ウイルスになり,強い感染力を持つようになった。
複合型ウイルス自体は数年前から存在したが,ここ最近急激に増えている。その理由の一つに,ウイルスの開発手法が変わってきたことが挙げられる。最近のウイルス作成者は,ウイルス本体やそのウイルスの設計図に当たるソース・コードをネットで公開するようになってきた。その結果,不特定多数の人間が,これらを入手できるようになったのである(図2)。
ソース・コードがあれば,簡単にウイルスを生成でき,改変も可能だ。ソース・コード内に,改変するための丁寧な解説まで記述されている例も増えている。さらには,ウイルスに応用できるような振る舞いを行うプログラムや,攻撃対象や攻撃方法に変化を与えるパラメータを入力するだけウイルスを作成できるソフトウエアなども公開されている。
こうした傾向は,複合型ウイルスの開発を促進するばかりか,ウイルス作成者になる敷居も下げている。そのため,ウイルスの開発に参加するユーザーが急激に増えているようだ。
