「2007年は、ネットワーク経由のウイルスが終えんを迎え、Web経由のウイルスが顕著になった年。攻撃の手口は、主にWebになっている」――。セキュリティベンダーであるラックの研究開発本部 先端技術開発部 部長の新井悠氏は2007年12月19日、報道陣向けの説明会において、2007年のセキュリティ動向などを解説した(図1)。
新井氏によれば、2~3年前までは多数出現していた「ネットワークにパソコンを接続するだけで感染するようなウイルス」は減少しており、現在は「Web経由で感染するウイルス」が主流になっているという。
「Windows XP SP2やパーソナルファイアウオールの普及により、ネット経由で感染を広げることが難しくなった。このため、攻撃の手口はWebを使ったものにシフトしている。2007年は、その傾向が顕著になった」(新井氏)。
しかも攻撃者は、有名企業などの正規のWebサイトに、ウイルスを感染させるような「わな」を仕掛けるようになった。「MPack」や「IcePack」のような攻撃ツールを使っているため、脆弱(ぜいじゃく)性があるパソコンでは、そのWebサイトにアクセスするだけでウイルスに感染してしまう(図2)。
こういった傾向は、「『危険なサイトには近づかない』という心得が、ユーザーに浸透しているためだと考えられる。その裏をかくために、攻撃者は正規のWebサイトにわなを仕掛けている」(新井氏)。例えば、2007年6月にはイタリアで3000以上のサイトに、2007年10月にはトルコで150ドメインのWebサイト4万ページ以上に、ウイルスを感染させるような不正なスクリプトが埋め込まれた。
Web経由のウイルスの実態を調べるために、ラックでは2007年9月に調査を実施。あるブラックリストに「危険なサイト」として登録されている10万サイト(URL)を巡回して、それらに置かれたウイルスを収集して解析した。
その結果、巡回したサイト(URL)の8.5%には何らかのウイルスが置かれていて、感染の危険性があることが明らかとなった。また、それらのサイトで収集したウイルスは1921種類で、総数は2万7755にのぼった。これらをウイルス対策ソフトで検査したところ、およそ69%に当たる1325種類は検出できなかったという(図3)。
検出できないだけではなく、ウイルスの“中身”も巧妙化が進んでいるという。例えば、パソコンに最初に感染するのは、別のウイルスをダウンロードする機能だけを持つ「ダウンローダー」であることがほとんど。実行されると、別のウイルスをダウンロードして実行する。
ただ、このとき実行されるウイルスもダウンローダーであることが多い。「最終的にはボットに感染させるが、それまではダウンローダーを『多段』で使用して、ボットが、いつ、どこからダウンロードされたのか分かりにくくする。また、調査の際には、ダウンロードされたウイルスすべてを調べる必要があるので、『多段』であればあるほど、解析に時間がかかってしまう」(新井氏)。
最終的に実行されるボットなども“工夫”を凝らす。例えば、特定のWebサイトと通信できない場合には、自分自身を消去するウイルスが確認されているという。証拠を消すためだ。「調査目的で仮想マシン上で実行されたり、感染後にユーザーがネットワークケーブルを抜いたりした場合には、自分自身を消去する」(新井氏)。
今後も、Web経由のウイルス攻撃が続くと予想する新井氏。ユーザーとしては、「怪しくないサイト、危害を加えそうもないサイトにアクセスした場合でも、被害に遭う恐れがあることを認識すること」(新井氏)が重要であるという。
