［米国］
Pocket PCに感染するバックドア型トロイの木馬「Brador」が登場

（2004年08月06日）

　PDA（携帯情報端末）もウィルスの標的になる日がついにやってきたようだ。米シマンテックや、ロシアのカスパースキー・ラボは、Windows CEベースの「Pocket PC」ソフトウェアを稼働しているPDAの一部に感染し、外部の攻撃者によるそのマシンの遠隔コントロールを可能にする、バックドア型トロイの木馬プログラムを発見・報告した。
　
　それを、シマンテックでは「Backdoor.Brador.A」、カスパースキーでは「Backdoor.WinCE.Brador.a」と呼んでいる。
　
　ウィルス対策ソフトウェア会社は、データ定義を新ウィルスが見つかるたびにアップデートするといったPCの場合のような迅速な対応策を、PDA向けにはまだ用意していない。シマンテックやその他の会社は、モバイル機器用のウィルス対策ソフトウェアを提供しており、実験室では、先月開発されたWindows CEのウィルス「Dust」も含め、一連のウィルスに対抗するツールをすでにテストしている。
　
　だが、今回のBradorに感染したシステムについては、シマンテックは、/Windows/StartUp/svchost.exeファイルをWindows CEオペレーティング・システム（OS）から削除した後、同OSとアプリケーションを完全に再インストールし直すことを推奨している。
　
　「これは、私たちが初めて目にするWindows CE向けのバックドア型トロイの木馬の一つだ。その感染は全然広がっておらず、私たちが見付けたのは現時点で一例だけだ。しかし、それは攻撃者たちが向かっている方向を示している」とシマンテック・セキュリティ・レスポンスのシニア・マネジャー、オリバー・フリードリックス氏は述べている。
　
　Bradorのファイル・サイズはわずか5632バイトなので、電子メールで配布するのもWebサイトからのPDAへダウンロードさせるのも簡単だ。カスパースキー・ラボは、このコードをロシア語の文章が入った電子メール内で見つけたため、作成者はロシア人ではないかと見ている。
　
　Bradorが実行されると、それはWindows自動実行フォルダ内のsvchost.exeファイルに自分自身をコピーし、再起動後にそのシステムのコントロールを握る。完全にコントロールを握られてしまう、とヤンキー・グループのセキュリティ・ソリューションズ＆サービス・アナリスト、フィービー・ウォーターフィールド氏は語る。
　
　「それは、感染したシステムのIPアドレスを攻撃者に電子メールで送る。攻撃者はそこに接続して、バックドアにアクセスし、感染したシステム内のファイルを閲覧したり、ダウンロードしたり、感染したシステムに他の悪意のコードをアップロードしたりする可能性がある」とフリードリックス氏。
　
　Bradorは感染力が限られているため、シマンテックはその脅威レベルを5段階評価（5が最高）の1に分類している。しかし、ヤンキー・グループのウォーターフィールド氏は言う。「これは広がらない。だが、非常に怖い先例を作る。これは、デスクトップ上の脅威がこの種の機器にも広がっていくという、かなり以前からのセキュリティ専門家の予言が現実化されつつあるということだ」
　
　大きな問題は、Windows CEやその他のPDA用OSがWindows XPのようなセキュリティ機能を備えていないことだ、とウォーターフィールド氏は指摘する。「最新バージョンのWindows CE.Netは、そうした機能をかなり備えるようになったが、古いPDAでは機器内のパーミッション（アクセス許可）設定すらできない。どんなデータも、パスワードさえも、このトロイの木馬に丸見えになってしまう」
　
　ARMプロセッサを搭載しているモバイル機器はBradorに感染する危険がある。そこで、フリードリックス氏はファイルの受信時に注意して、怪しい電子メールや添付ファイルは開かないよう呼びかけている。
　
　また、企業が従業員のモバイル機器使用についての規定を設けることを勧めている。「パスワードを使用すること、信頼できるコード以外はダウンロードしないこと、ウィルス対策ソフトウェアを稼働すること、機密性の高い情報を機器上に置かないことだ」