[Giz Explains]4月1日世界のPCをConfickerワームが襲うシナリオと対処ツール : ギズモード・ジャパン

[Giz Explains]4月1日世界のPCをConfickerワームが襲うシナリオと対処ツール

2009.04.01 12:00 [0] [0]

Tweet
Check

タグ:GIZ EXPLAINS

それは世界何100万台というPCに潜伏している。

それは信じられないほど高度で、回復力が速く、P2Pとデジタル署名によるコード認証の技術を備えている。

それはセキュリティソフトを殺して喜ぶ。

2009年4月1日（米時間）。あのConfickerワームが目を覚ます―。

というわけで大騒ぎのConfickerワームですが、その1番の怖さは、昨年暮れから感染した文字通り何100万台というWindows PCが互いに連携すること。2番目の恐怖は、このバーチャル軍で製作者が4月1日（PCがサーバーから指示を受ける予定日）何をやらかすつもりなのか、その日になるまで誰にも分からないことです。

事態が深刻なことを受けマイクロソフトは今年2月、作者逮捕に繋がる情報を提供した人に25万ドルの賞金を用意したことを発表。（本稿の後、対処ツール出ました。文末にまとめておきます）。

NYタイムズのジョン・マーコフ記者は、もっと巧妙な悪事が起こる可能性をこちらの記事で検証していますが、UCサンディエゴ研究員Stefan Savage氏の主張では、これは「ダーク・グーグル（Dark Google）」とも言うべきもので、場合によっては世界中のゾンビと化したマシンから悪者が他の悪者に売り渡せる情報が探せるものになるそうですよ。

でもまあ、今さらジタバタしても始まりませんから、ちょっと落ち着いて、こやつの素性を洗うことにしましょう。

まず「Conficker」というこの変な名前。これはWiki辞書Urban Dictionaryによると、「コンフィギュレーション（configuration）」と丁寧語「f***er（ファ○○ー）」の合成語とあります。

ギズが取材したシマンテック・セキュリティ・レスポンスVPのVincent Weafer氏によると、最初出た頃は「それほど成功というほどでもない」ワームで、マイクロソフトのリモートサーバーの脆弱性を突いたものだったんですけど、ワームが出る前の月に発表されパッチも配布されたので、攻撃対象と言ってもアップデートされてないシステムぐらいだったそうです。

ところが昨年12月に出たBリリースは「ワイルドなまでの成功」で、パッチを施してない何100万台というコンピュータがこれに感染。とにかくアグレッシブな小悪党で、2003年夏に猛威を奮ったBlaster並みの威力を持つワームは何年ぶりということです。

BリリースはP2Pケーパビリティ内蔵で、オープンな共有フォルダーや共有プリンターまで荒らすので、あっという間に企業ネットワーク全体を這い回ることができます。

USBフラッシュやハードライブにもおんぶするし、しかも信じられないほど抵抗力の強いデザインで、セキュリティソフトウェアは殺すわ、Windowsアップデートは不能にするわで、ずっと奥まで穴を掘って潜るんです。

2月にはCリリース登場。こやつは新規マシンは狙わなくて、Bに感染済みのコンピュータに更にペイロードを加えるものですね。これに罹るとConfickerは「くしゃみが止まらない流行病」から、「重態の疫病」へと変わります。

CリリースではP2Pパワーが更に拡大し、デジタルコードサイニング（デジタル署名によるコード認証）技術を装備しました。つまりどういうことかと言うと、感染したマシンはワーム自体から発行される信頼できるコードのアップデートしか受け付けないので、セキュリティの専門家も外部からコードを注入して中和することができない、ということです。

さらにCパッチではConfickerのセキュリティソフトウェア殺戮力が上がり、指示要求でコンタクトを試みるドメインの範囲も250から5万に拡大。それまでセキュリティの専門家たちが行っていたドメイン占拠の戦術も完全に骨抜きになってしまったんですね。で、悪魔の大蛇の首を切り落とそうにも、その術が実質上ない状態となったのです。
　

このように4月1日にゾンビマシンを総動員するお膳立ては整ったわけですが、それでいったい何が起こるのか？　それは誰にも確かなところは分かりません。これだけ規模の傭兵を使えるなら、作成者はなんでもできそうです。大量のDoS攻撃、「ダーク・グーグル」のシンジケート立ち上げ、何100万台というマシンの新規攻撃、世界中のサーバーをクラッシュさせるスパムの津波生成…。

でもWeafer氏によると一番考えられるのは、Conficker制作者はきっと金目当てだろうから、これを誰かに「貸す」という線。でも仮にConfickerが大規模な地球滅亡のツールとして実際使われたら、「たちまちこれで金儲けする能力も失われる」わけだし…なんなんでしょうねえ…。

途上国にあるようなコンピュータ処理パワー活用の地味な業務に大きな支障は出ないでしょうけど、これが悪しき前例になることは確かで、結末がどうあれ何か別の恐ろしい方向性でこれと似たようなものを開発する人は他にも出てきそうです。

Confickerが打ち出した「P2P、コードサイニング、分散型ドメイン設定を活用する」というこれまでにないアプローチは、他のマルウェア制作者をインスパイアし、Conficker作者が過去のマルウェアから学んだようにきっと彼らもConfickerの成功をじっと眺めてるはずだと、Weafer氏は言ってます。いわば悪のオープンソースですね。

でもきちんとアップデートされてるマシンは心配ないです。感染してる人は除去できるし、Microsoft ReportのEd Bott記者が僕らに言ってたように、たぶんみなさんも大丈夫。4月1日を境に覚醒し大規模なパラレルコンピュータへと変貌を遂げるワーム…と震えてる間に何の異変もなく1日が過ぎてメール箱にまた1件、V@ltr3xxxからスパムが増えてました…みたいな結末かもよ？

感染したマシンは簡単に検出できる
エイプリル・フール前日、セキュリティの専門家ダン・カミンスキー氏が、Honeynet ProjectのTillmann Werner氏とFelix Leder氏と共同で感染マシンの検出スキャナーを見つけ、公開しました！

我々はかなりすごいことに気付いた。: Confickerに感染するとネットワーク上でWindowsの外観が変わるのだ。この変化はリモートから、匿名で、すごくすごくすごく素早く検出できる。文字通り、Confickerに感染してるのかどうかサーバーに聞くと、教えてくれる、という感じ。

とダン・カミンスキー氏。Tenable （Nessus）、McAfee/Foundstone、nmap、ncircle, and Qualysにリリースとなります。シマンテックはここで無料ダウンロードして指示に従うだけで、大丈夫ですよ（セキュリティサイトに入れない人は感染の可能性あり）。あーこれで、大企業のネットワーク管理者も神経症ならずに1日乗り切れますね。

[Doxpara Research via Ars Technica]

*「Giz Explains」は読者の素朴な疑問に答えるコーナーです。ワームのこと、V14GRAのこと、ジェイソン・チェン記者のパンツのことなど知りたい疑問は何でもOK。タイトルに「Giz Explains」とご記入の上、「 tips@gizmodo.com　」までドシドシ（英語で）お寄せください！

matt buchanan, John Mahoney（原文1、原文2、原文3／訳：satomi）