「2002年は複数の“機能”や感染手法を備えた複合型ウイルスが流行した。2003年は,複合型ウイルスに加えて,最近流行した『SQLP1434(SQL Slammer)』のようにファイルを作らないタイプや,暗号化を施したタイプといった,さらに複雑なウイルスが流行するだろう」——。トレンドマイクロ Global Product Manager for Scan Engine and Virus Pattern(ウイルス解析技術のグローバル・プロダクト・マネージャー)のJohn Hermano氏は1月29日,プレス向けのセミナーおいて,2002年のウイルスを総括するとともに2003年に流行するウイルスを予想した(写真)。以下,講演要旨をまとめた。
2002年は“手口”が複数に
まず,2002年は複数のウイルス・ファイルを“産み落とす”ウイルスが流行した。例えば,2002年に最も被害をもたらした「Klez」ウイルスは,感染すると「Elkern」という別のウイルス・ファイルを作成する。SQLP1434(SQL Slammer)と同様にSQL Serverマシンに感染を広げる「SQL Spider」は,およそ10個のファイルを作成し,それらがすべて動作して被害をもたらす。もはや,「1つのウイルスは1つのファイル」ではなくなった。
さらに,複数の“機能”を備えたウイルスが多数出現している。最近の例では「Bugbear」が挙げられる。Bugbearは大量のメールを送信して感染を広げるだけではなく,ネットワークを介しても感染を広げる。さらに,「パスワードを盗む」「ユーザーが叩いたキーを記録して外部に送信する」「不正アクセスが可能になるように“バックドア”を仕掛ける」——といった動作もする。加えて,ウイルス対策ソフトを削除する「アンチ・アンチウイルス」機能まで備えている。
メールに限らず,さまざまな感染手法を持つウイルスも出現した。特に,インターネット・メッセージング・ソフトを介して広げるウイルスは要注意である。例えば,2002年10月に出現した「Rodok」は,ウイルス本体を送信せずに,あるURLを記したメッセージを送信する。相手がそのURLをクリックしてしまうと,ウイルス・ファイルがダウンロードされる。そのファイルを実行すると被害に遭うことになる。
ソフトウエアのセキュリティ・ホールを悪用するウイルスも多かった。Klezをはじめとする複数のウイルスがInternet Explorerのセキュリティ・ホールを悪用した。Windows Media Playerのセキュリティ・ホールを悪用する「Urlexploit」,WebサーバーApacheのセキュリティ・ホールを悪用する「Scalper」,WindowsのLPCポート・リクエストのセキュリティ・ホールを悪用する「HK」など,枚挙にいとまがない。
2003年は「複合+複雑化」
2002年に流行したタイプのウイルスは,2003年になっても出現するだろう。SQLP1434(SQL Slammer)は,2002年にも流行した,セキュリティ・ホールを悪用するタイプである。
2003年には,ウイルスはより複雑化して,従来のウイルス対策ソフトでは見つけにくくなっていくだろう。例えば,2001年に流行した「Code Red」や,先日のSQLP1434(SQL Slammer)のように,ファイルを作成せずにメモリーにだけ感染するようなウイルスが,今後より出現することが予想される。
自分自身を暗号化する「ポリモーフィック」タイプや,コード自体を変化させる「メタモーフィック」タイプといった,より複雑なウイルスが出現する可能性も高い。実際,これらのタイプの「Simile」や「Zmorph」といったウイルスが出現している(関連記事)。
2000年は「Loveletter」などのスクリプト・ファイルのウイルスが流行した。2001年はKlezなどのバイナリ・ファイルのウイルスが大きな被害をもたらした。複雑なウイルスはほとんどがバイナリ・ファイルなので,2003年もバイナリ・ファイルのウイルスが流行するだろう。ただし,Webサービスが利用されるようになれば,XMLファイルのやり取りが増えるので,XMLファイルに仕込んだスクリプト・ベースのウイルスが流行する可能性はある。
(勝村 幸博=IT Pro)
