Confickerワーム、さらに状況悪化

090403coficker_over.jpg

Y2Kのように平穏に、4月1日は過ぎました。

Conf ickerワームな んて嘘 だ」と、米Gizmodoがエイプリルフールに用意したマスコットのピエロがワームにやられたフリして喜んでるぐらいで異変もなく、やれやれ、ひと息。ですが、それは表面上の話であってセキュリティの専門家によるとConfickerかつてないほど強靭かつ危険なワームに変貌を遂げたのだそうですよ。

4月1日の1分目に、Confickerは予想通り実家に電話をかけて指示を仰ぎました。どんな最悪なペイロードが入ってるんだろうと、(←米Gizmodoはあれ1日中やったんです)してるうちは面白かったんですが、この日のアップデートにはさらに深く入り込むインストラクションが含まれていたんです。

この日に先立ちConficker検出スキャナーを発表した専門家ダン・カミンスキー(Dan Kaminsky)氏はこう言ってます。

「あのワームは誰もが思った通りのことをした。自分のアップデートだ。[...]世界中が花火のような大事件、エボラウイルスのようなクラスの、なんかこう世界中のコンピュータが爆発するとかなんとか、そういうもの期待してる間に、現実にConfickerの開発者たちがやったのは…善玉の男たちがこの2月、3月の間になんとか構築したフェンスの網目をかいくぐってアップデートできる能力をがっちりとセメントで固めることだった」

それが何故恐ろしいことなのか? 

先日ご説明したように、ConfickerはスパムのDNSネーム(askcw.com.ruとか)を何百件と登録することで、ゾンビのボットネットのインフラを構築し、それをリンクしたものを、感染したマシンが指示を仰ぐ際のノード(ネットワークへの接続ポイント)として利用しています。

初期の形式のConfickerは、こういうDNSネームを1日250件というペースで登録を試みていたのですが、先月あたりから広まってる第3版のConficker.c型改良種ではスパムDNS占拠の件数がいきなり1日5万件に増えました。―これはセキュリティのプロも、もはや追いつけない数字です。

 4月1日のアップデートでやったのはシンプルなことです。この数週間の間にConficker.cが新たに登録した何千(or何万)というノードを繋ぐよう指示を出しました。これは事実上停止不能なところまでP2Pのボットネットのサイズを拡大する指示です。

「ここで話しているのは1回きりのownage(対戦、勝負)ではない。ずっと続くownageだ」―カミンスキー氏はハッカー仲間の言葉を借りて今の状況をこう説明しています。「彼らが作ろうとしているのは今後何ヶ月、何年にも渡って生き永らえる持続可能なネットワークなのだ」

セマンテック・セキュリティ・リスポインスのKevin Haleyディテクターは、もうひとつ重要なポイントを挙げています。「[4月]1日は[Confickerを使って何かやる日としては]最悪の選択だった。みんな何が起こるか固唾を飲んで見守っていたのだから。誰であれ、この背後にいる人間は我々よりずっと辛抱強い人間だ」

ネットワーク上の感染したマシンからConfickerを検出・駆除する良策も今はありますし、マイクロソフトのセキュリティパッチさえあれば自分のマシンは守れます。でも、大体のPCがセキュアでも、今まで世界に広まったConfickerに感染したノードの軍隊は、大打撃を与える何かを起こせるサイズに成長しているようです。

次に何が? ―しばらくは様子眺めになりそうですけど、アメリカの読者さんからは「[ターミネーターの]スカイネットに名前変えた方がいいんじゃ?」なんて声もチラホラ出ています。何事もないといいですね。

John Mahoney(原文/訳:satomi)

【関連記事】

[Giz Explains]4月1日世界のPCをConfickerワームが襲うシナリオと対処ツール

エイプリル・フールに猛威をふるう(かもしれない)「Confickerワーム」

Conf ickerワームな んて嘘 だ。

パソコンがワーム(本物)に破壊される

街中にコンピューターウィルスが表示される