日立グループのセキュリティ組織であるHIRT(Hitachi Incident Response Team)は2010年9月13日、ファイル共有ソフトの「Winny(ウィニー)」や「Share(シェア)」でやり取りされるファイルに関する調査結果を公開した。WinnyやShareのネットワークを流れるウイルス(いわゆる「Winnyウイルス」)の多くは、アイコンやファイル名を偽装して、ユーザーをだまそうとしているという。
HIRTでは、WinnyやShareのネットワークを流れるファイルを調査し、ウイルス(マルウエア)の流通状況を、2008年以降毎年調査している。4回目となる今回は、2010年12月から2011年1月の間に3回実施した。調査対象のファイルは合計2万9520件。1回目が1万7件、2回目が9654件、3回目が9859件だった。
調査の結果、Winnyネットワークを流れるファイルのおよそ27件に1件には、ウイルスが含まれていた、あるいはウイルスそのものだったという(図1)。また、流通量が多い圧縮ファイル(拡張子がzip、lzh、rar)に限定すると、調査したファイルの7件に1件はウイルスだった。
WinnyやShareでやり取りされるウイルスの多くが、アイコンやファイル名を偽装していることも明らかになった。Winnyにおいては、検出したウイルスファイル1084件のうち、1032件がアイコンを偽装(図2)。Shareにおいては、ウイルスファイル335件中、320件がアイコンを偽装していた(図3)。いずれも、95%を超える“偽装率”だ。
アイコン偽装のほとんどは、フォルダーに見せかけている。Winnyでは、アイコンを偽装しているウイルスの73%が、Shareでは95.3%がフォルダーに見せかけていた。
ファイル名の偽装も常とう手段だ。Winnyネットワークを流れるウイルスのおよそ3割(1084件中324件)が、アイコンだけではなく、ファイル名も偽装。Shareについては、7割以上(335件中242件)がファイル名も偽装して、ウイルスを安全なファイルに見せかけていた。
